SanseiK7
Сообщений: 18
Оценки: 0
Присоединился: 2007-04-07 16:11:58.650000
|
Нарвался на один информационный веб-сервер под управлением Lotus Domino. Открытие базы /domcfg.nsf приводит к открытию панели конфигурирования, от которой толку мало. На серваке есть база Developer.nsf c перечнем файлов в формате pdf. Раньше разрешалось скачать файло по прямой ссылке, не регаясь на серваке. Для этого достаточно было запросить его по такой ссылке: http://server/Developer.nsf/files/folder75/$File/file1.pdf. А чтобы вывести оглавление содержимого папки, достаточно было в пути указать лишь папку типа http://server/Developer.nsf/files/folder75. Сейчас такой халявы нет. Знает ли сообщество хакеров, как поюзать какие-нибудь дыры в Лотусе, чтобы вывести оглавление каталогов? Нижеприведенные уязвимости не работают: /Webadmin.nsf – приводит к отображению формы CustomLogin. /./webadmin.nsf – приводит к отображению формы CustomLogin. /mail/./administrator.nsf – Error 404. HTTP Web Server: Lotus Notes Exception - File does not exist catalog.nsf – приводит к отображению формы CustomLogin. names.nsf – приводит к отображению формы CustomLogin. /.nsf/../winnt/win.in – Http Status Code: 404. Reason: File not found or unable to read file cgi-bin/www-sql – Http Status Code: 500. Reason: Bad script request – no variation is executable domcfg.nsf/viewname?SearchView&Query=%22*%22 – Error 404. HTTP Web Server: Couldn't find design note – viewname
|