这是在 20CN网络安全小组第一代论坛 的论坛 黑客基地 中的主题 重大漏洞的发现


要查看这个主题,请使用这个 URL:
http://www.20cn.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=2;t=000854
japleak (编号: 2531) 发表于 :
 
重大漏洞的发现
原创:雾中鸟 (japleak)
今晚,去黑客城准备学习一些知识,首先打开就是论坛,一时兴起,干脆察看一
下“论windows系统安全”——“救命!修改NT密码后无法进入系统 ..”的源
代码,得到了一个http://www.my87135.com/freehome /hack3/forum/non-cgi/images/board.js 的脚本文件!
然后再浏览器输入“http://www.my87135.com/freeho me/hack3/forum/non-cgi/images/board.js ”下载board.js
用记事本打开board.js,得到一个openScript('misc.cgi?
action=newmsg',420,320),然后发出一个请求
http://www.my87135.com/freehome/hack3/forum/n on-cgi/images/misc.cgi
得到了如下结果:
CGI Error
The specified CGI application misbehaved by not returning a complete set of
HTTP headers. The headers it did return are:


Can't open perl script "D:\freehome\hack3\forum\non-cgi\images\misc.cgi":
No such file or directory

结果很明显了,显示了物理路径!

[ 11-27-2001: 贴子编辑者: japleak ]
 

NetDemon (编号: 3) 发表于 :
 
我认为这个不应该叫做漏洞,这不过是程序的作者为了调试方便在出错信息中加入了出错误的文件位置而已,要他不显示出来也是少写一行代码就是了,没什么的
 
japleak (编号: 2531) 发表于 :
 
哦?
 




Powered by Infopop Corporation
UBB.classic™ 6.5.0
NetDemon修改版 1.5.0, 20CN网络安全小组 版权所有。