Oblog 4.5-4.6 access和mssql版 getshell 漏洞

没穿底裤 2019年12月31日22:41:15评论324 views字数 214阅读0分42秒阅读模式
摘要

影响范围:Oblog4.5 – 4.6漏洞需求: IIS6.0/开启会员 漏洞利用:⒈ 注册会员,发表一日志。

影响范围:Oblog4.5 – 4.6

漏洞需求: IIS6.0/开启会员

 

漏洞利用:

⒈ 注册会员,发表一日志

⒉ 修改日志,高级选项,文件名称这里写abcdefg,内容为一句话木马源码。然后抓包保存。

⒊ 修改表单数据,将filename改为a.asp;x,isdraft参数为1,提交表单。

⒋ 回到博文管理,选择重新发布日志,日志地址则为SHELL地址。

tips: 若博文目录不可, 则可控制filename=../../data/a.asp;x

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
没穿底裤
  • 本文由 发表于 2019年12月31日22:41:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Oblog 4.5-4.6 access和mssql版 getshell 漏洞https://cn-sec.com/archives/75132.html

发表评论

匿名网友 填写信息