Oblog的tags.asp页面存在注入漏洞

#影响版本:
3.13-20060429 [access & mssql]
4.02-20070112 [access & mssql]
4.50 Final Build0619 [access & mssql]
4.60 Final Build0921 [access & mssql]
4.60 Final Build1107 [access & mssql]

漏洞是致命的,acc和sql版均可以直接爆出管理员密码,如果是sql版,则可以直接添加一个管理员!为了有效检测这个洞,我

在本机建站,认真研究后写了这个利用工具.目的是方便大家检测自己的网站,不要用它来入侵,因为oblog站点实在太多!

工具经过我多次调试,已经比较智能化了,并加入了MD5解密和缩放功能,很方便了!

我是用VB写的,目前工具还两个地方有待完善:

一是那个导入密码的功能, 目前只能导入第一个管理员的密码,其它的需要手工复制到解密框;

二是sql版在改变后台目录的情况下,还不能查出后台,原因是记录后台的字段使用了"desc"作为字段,不能查询显示其中的内容.



对了 给出最简单的获得WEBSHELL的方法吧
针对2003: 在网站配置那修改上传图片目录为XX.ASP,然后上webshell
针对任何版本:网站模块插入一句话

第一个

好东西啊.

危害了社会啊 ~~~

小的进来学习了
大家赶快用把··
不然过期了就不好了

怎么查找啊
怎么查找杨浦这个漏洞的网站啊

可以爆出密码啊
但是，就是 进不去啊？？为什么 ？？

官方已经修正该漏洞
来源:http://www.tr4c3.com/post/308.html

[ 本帖最后由 fengchen 于 2008-4-29 22:47 编辑 ]

啊    我来试试~~~~~~~~~~~~~~~

这么好的东西怎么样没人顶呢？？