Oblog博客系统存在SQL注入漏洞http://www.anqn.com 

最新推荐文章于 2013-08-29 17:38:08 发布
最新推荐文章于 2013-08-29 17:38:08 发布
阅读量835 收藏
点赞数
文章标签: sql google 脚本 border 网络 image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kzh4435/article/details/1850468
版权
以下是代码片段:
<Script type=text/javascript><-- google_ad_client = "pub-6189616927295720"; google_ad_width = 250; google_ad_height = 250; google_ad_format = "250x250_as"; google_ad_type = "text_image"; //2006-11-09: 文章-内容 google_ad_channel = "5928043754"; google_color_border = "FFFFFF"; google_color_bg = "FFFFFF"; google_color_link = "666666"; google_color_text = "000000"; google_color_url = "666666"; //--></Script> <Script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type=text/javascript> </Script>
Infos: 漏洞预警中心小组漏洞预警公告(BCTWR0701)
Author: 疯子
Date: 26/10/2007
Bug.Center.Team(http://www.cnbct.org)

oblog存在SQL注入漏洞

发布日期:2007-10-26

综述:
======
根据我们针对oBlog进行的程序代码审计发现oBlog存在SQL注入漏洞,致使恶意用户可以利用注入漏洞拿到管理员帐号密码,并且进行恶意攻击。

我们强烈建议使用OBlog的用户立刻检查一下您的系统是否受此漏洞影响,并紧密的关注oBlog官方所发布的安全更新



关于Bug.Center.Team:
Bug.Center.Team(又名:漏洞预警中心小组)是国内较早成立的以脚本安全为主要方向的网络安全组 织,致力于网络和脚本安全问题的研究,在对于脚本程序的修补、维护、漏洞检测都有专业水平,是国 内最专业、最经验的安全服务组织,有关Bug.Center.Team的详情请参见: http://www.cnbct.org  
kzh4435
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
oblog4.60漏洞
06-28
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 1、注册一个用户,用户名script,密码123456 2、发布一篇日志,日志标题:测试一下 3、个人前台首页找到日志"测试一下",点"推荐" 4、个人后台管理,选择"常用"选项中的"推荐日志",然后点"测试一下"日志后面的修改,把摘要内容修改成: s'/**/WHERE/** /logid=1;insert/**/into/**/oblog_admin/**/(username,password,roleid)values('script','49ba59abbe56e057',0);-- 5、最后点"确认提交"按钮,如果提示修改成功,注入完成! 6、登录后台,地址/admin/admin_login.asp,输入上面的用户名和密码,登录后台成功! 转的
oblog:基于MarkDown和Vue.js的自动渲染博客系统|自动渲染加载MarkDown内容的博客系统
02-03
博客基于MarkDown的自动加载和渲染博客系统主要特点功能特色基于Vue.js和Element UI基于Vue.js与Element UI Markdown自动渲染Markdown自动解析帖子/页面系统支持文章/页面系统Neet UI设计美丽的UI设计与自适应到处都...
Oblog最新注入漏洞分析
广外女生官方BLOG
09-11 754
 Date:2008-5-15 Author:Yamato[BCT] Version:Oblog 4.5-4.6 sql 代码分析: 文件In/Class_UserCommand.asp : strMonth=Request("month") //第63行 strDay=Request("day") …… Case "month" //第84行 Dim LastDay G_P_FileName =
Oblog4.5跨站漏洞
jahn的专栏
10-17 812
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)oblog这套程序大家应该都很熟悉了吧,它凭着它的简洁、安全、稳定成为国内多用户blog的首选。这天无聊,就下了套上个月才出的oblog4.5最新版来看代码,谁知,居然看出了N多XSS点。    首先给大家看一个另类点的跨站点,虽然利用价值不大,但是我觉得跨这个点的思路大家可以学习下。我们来看upload.asp和user_
终点文学的0DAY发现和利用(图)http://www.anqn.com 
jahn的专栏
10-28 1601
放我这好长时间了 拿到以后以为能是个很好的0day 结果太不好利用只能cookie注射 我又本地架设了一个 确实是只能用cookie注射来猜密码 确实能猜出来本地架设的 知道表名猜的也快~  扔出来玩吧 好多小说网站用的这套程序~ 抓包数据如下 POST /adurl.asp HTTP/1.1Accept: image/gif, ima
Oblog 2.52导出日志最新漏洞
得峰的专栏 [网络收藏]
05-11 822
/**作者:慈勤强 Http://blog.csdn.net/cqq
OBLOG4.0 OBLOG4.5漏洞利用分析
10-30
然而,OBLOG4.0与OBLOG4.5版本中存在一个较为严重的安全漏洞,即SQL注入漏洞。这种漏洞如果被恶意利用,可能导致数据泄露、服务器被控制等严重后果。 #### 二、漏洞详情分析 ##### 漏洞文件:`js.asp` 该漏洞主要...
oblog多用户博客.Net免费版 v2.0.rar
07-09
oBlog多用户博客程序是目前国内应用最广泛的博客程序。OBLOG程序已经广泛应用在国内数万家网站,覆盖国内上千万上网人群,并经过上千家知名网站的严格检测,被称为国内博客建站第一程序oBlog多用户博客程序”是目前...
oblog博客程序 4.5正式版本
03-22
oBlog每次发布最新版本,都会第一时间公布于http://www.oBlog.cn,请密切关注网站的最新情况。 2、解压oBlog 将下载回的oBlog解压到指定的目录 3、安装oBlog 1)在本地安装论坛执行本操作前请确认您拥有安装要求中所...
oblog多用户博客Asp免费版 v4.6.rar
07-05
同步更新官方最新版 oBlog多用户博客程序是目前国内应用最广泛的博客...演示网站:http://oblog.demo.aobosoft.com   更新时间:2009年06月23日 这个版本解决了OBLOG4.6 081029版本中存在的问题,以下为修改说明:
oblog商业版本4.6注射漏洞,直接拿管理员
weixin_30902251的博客
08-05 109
漏洞描述:通过构造特定的语句,可以更改任何用户的密码,包括管理员,严重级漏洞漏洞文件:AjaxServer.asp变量:log_files语句:log_files=Replace(log_files," ","")If Left(log_files,1)="," Then log_files=Right(log_files,Len(log_files)-1)rs("logpics") = log...
关于Oblog 2.52 help.asp漏洞的修补问题
得峰的专栏 [网络收藏]
05-11 806
关于Oblog 2.52 help.asp漏洞的修补问题 这是一件很有意思的事情。 OBlog是一套基于asp的Blog系统,目前的版本是2.52吧。 前些日子,出现了个help.asp文件漏洞, 可以查看任意文件的
菜鸟|黑客 常用站点大全! !
热门推荐
碎心的专栏
12-02 1万+
北京市公安局信息网络安全报警服务站:http://www.bj.cyberpolice.cn/index.htm 中国互联网违法和不良消息举报中心:http://net.china.cn/chinese/index.htm 安全焦点:http://www.xfocus.net/ 专业安全搜索:http://www.ccert.cn/ MD5在线查询:http://www.xmd5.com
[导入]自己编写QQ挂机软件--基于HTTP的QQ协议之我所见
weixin_33785972的博客
09-09 225
文章来源: http://www.anqn.com/article/q/2007-08-23/a0985602.shtml    有一年没有发表文章了,最近我为了一个项目对QQ协议进行研究,有些心得,不敢独享,故把其中一项协议--基于HTTP的QQ协议V1.1的不完整成果,拿出来与大家分享一下。        大家说到QQ协议都觉得很神秘,是因为QQ不像MSN或者ICQ协议都已经官方公布了...
如何name服务的配置文件
llnara的专栏
08-29 1944
原文链接:http://leitelyaya.iteye.com/blog/808266 搜索Linux DNS,映入眼帘的是鸟哥的文章:http://linux.vbird.org/linux_server/0350dns.php 这篇长达11节的文章,看到Zone文件时就开始晕菜了。 继续寻找下一篇文章,来自于安全中国的:http://www.anqn.com/os/linux/2010
伪造发件人邮件地址
cnbird's blog
10-13 4150
http://www.anqn.com/article/h/2008-03-05/a0993480.shtml
Oblog的一些整理
weixin_30918415的博客
06-19 172
1、显示,help/h_main.htm的内容,格式:http://test/blog/user_help.asp?file=help/h_whatblog.htm,如果换成asp文件是不是也可以显示?从代码中可以看出,不允许读扩展名为asp的文件,但是对别扩展名没有限制,我们只想要asp文件的内容,windowns不区分文件的大小写,我们把小写的asp换成大写的ASP,读取oBlog的数据库连接...
OBLOG新手入门:快速掌握基础操作指南
OBLOG是一款流行的博客平台,它旨在帮助用户轻松创建和管理个人博客。本教程由站长百科教程制作组在2011年9月整理,主要涵盖了从注册账户、设置站点,到实际操作如发表日志、管理相册、留言和评论等核心功能的详细...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值