您的位置 » 首页 » 代码审计 » 爆个metinfo(米拓)后台修改任意用户密码漏洞

爆个metinfo(米拓)后台修改任意用户密码漏洞

发表于5年前 | 作者: seay | 分类: 代码审计 | 孵化于:2012年10月15日 | 文章热度:6,235 次 全屏阅读

显示不全请点击全屏阅读

上次爆了metinfo不少漏洞,官方动作很快,下午就升级了,其中前台修改任意用户密码,后来发现个后台也可以,跟前面那个一样,跟官方说了下,现在升级到5.0.4还没修补,那就爆出来吧,只要知道其中一个管理员的密码,登陆后台就可以了,很鸡肋。
并不是说有什么利用价值,只是说存在这么一个缺陷

漏洞文件admin//save.php

看图

Tags:

metinfo密码修改漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/1139/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有2个筒子的人留下了脚印...

  • suzhou 说:
    1楼
    2012 年 10 月 15 日 上午 9:42 回复

    但是不知道管理员密码啊!
    要知道的话到后台传个文件不就OK了?

  • 【管理员】seay 说:
    2楼
    2012 年 10 月 15 日 上午 10:49 回复

    @suzhou
    嗯,只是说存在这么一个缺陷,没说多大利用价值啊

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)