Oblog 4.5-4.6 access&mssql getshell 0day

Oblog 4.5-4.6 access&mssql getshell 0day
引导语：影响范围：4.5 - 4.6
漏洞需求: IIS6.0\开启会员
挖掘作者:henry

绝对原创，技术含量不高,但影响范围比较广..

漏洞文件：
AjaxServer.asp (372行)

log_filename = Trim(Request("filename"))//未过滤自定义文件名

1	log_filename = Trim(Request("filename"))//未过滤自定义文件名

AjaxServer.asp (259行)(关键)

If (oblog.chkdomain(log_filename) = False And log_filename <> "") and isdraft<>1 Then oblog.adderrstr ("文件名称不合规范，只能使用小写字母以及数字！")

1	If (oblog.chkdomain(log_filename) = False And log_filename <> "") and isdraft<>1 Then oblog.adderrstr ("文件名称不合规范，只能使用小写字母以及数字！")

逻辑错误,只要有一个条件不满足,则跳过.请看:

206行isdraft = Int(Request("isdraft")) //可控
isdraft=1 www.uedbox.com 则成功跳过

1 2	206行isdraft = Int(Request("isdraft")) //可控 isdraft=1 www.uedbox.com 则成功跳过

漏洞利用：

⒈ 注册会员，发表一日志。
⒉ 修改日志，高级选项，文件名称这里写abcdefg，内容为一句话木马源码。然后抓包保存。
⒊ 修改表单数据，将filename改为a.asp;x，isdraft参数为1，提交表单。
⒋ 回到博文管理，选择重新发布日志，日志地址则为SHELL地址。

tips: 若博文目录不可, 则可控制filename=../../data/a.asp;x

标签：GETSHeLL , Oblog , Oblog Oday 原文连接：Oblog 4.5-4.6 access&mssql getshell 0day 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。

Chrome Remote Desktop – 远程控制 burpsuite pro v1.4.07破解版