服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务
设为首页收藏本站
开启辅助访问 切换到宽版

运维之家

 找回密码
 注册
搜索
运维之家»技术论坛 服务器网管区 windows技术 最新Oblog4.6注入漏洞分析之二
返回列表 发新帖
查看: 5138|回复: 1

最新Oblog4.6注入漏洞分析之二

[复制链接]
dirtysea 发表于 2008-4-19 23:10:49 | 显示全部楼层 |阅读模式
Date:2008-2-15
Author:Yamato[BCT]
Version:Oblog 4.6

漏洞文件User_Address.asp:
If oblog.l_Group(17,0)=0 Then //第4行 有等级限制
 oblog.AddErrStr ("您目前所属的等级不允许使用通讯录功能")
 oblog.showUserErr
 Response.End
End if
。。。。。。
addrId=Request("id") //第15行
If addrId<>"" And InStr(addrid,",")<=0 Then addrId=Int(addrId)
。。。。。。
Case "add","edit" //第23行
 Call EditForm
。。。。。。
Sub EditForm() //第90行
 If addrId<>"" Then
 Set rs=oblog.Execute("select * From oblog_address Where userid=" & oblog.l_uid & " And addrid=" & addrId)
变量addrId只要含有豆号","就可以构造适当的sql语句进行注射。
回复

使用道具 举报

雨雪霏霏 发表于 2006-6-8 21:39:01 | 显示全部楼层

re:最新Oblog4.6注入漏洞分析之二

来迟了,但祝福一定要给的,那就给你个女朋友吧
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|运维之家

GMT+8, 2024-4-25 17:03 , Processed in 0.194667 second(s), 14 queries .

Powered by Dirtysea

© 2008-2020 Dirtysea.com.

快速回复 返回顶部 返回列表