如发现有乱码，请点击下面链接浏览原文
正文摘录:

oblog4.0／4.5漏洞txcbg这天下午我正在华夏的论坛上瞎逛，猛然看到了HE发的帖子：“oblog通杀4.0、4.5漏洞oday”。又有0day了，太好了。我是菜鸟，没啥技术，想入侵网站的话，我认为最好的方法就是利用CAe~ilgJ0day·利用工具了。我们先来看一下这个漏洞，在oblog4的js.asp中会看到如F代码从上边的代码中很明显可以看到TID没有经过过滤就直接递交给TEAMID了，而TEAMID只过滤了“1”就直接进入SQL。那么，如何利用这个漏洞来人侵网站呢?我是菜鸟，手工注入我可不会，于是只好耐心的等待利用工具的公布。晚上快ll点的时候，漏洞利用工具终于千Ⅱ乎万唤始出来了。马上F载回来，工具的界面如图l所示。如何寻找存在漏洞的b10g昵，我打开Yah00(使用g00gle或百度的人太多了，于是我选择了使用vah00)，搜索“poweredbyoblog4”，就会找到很多存在这个漏洞的blog。网址中带“／oblog4”的部可以测试一下，把搜索出来的网址复制到漏洞利用工具的“测试地址”一栏里，然后点“提交”按钮，如果成功的话，就会暴出管理员后台登录的用户名和密码的MD5值，如图2，暴出的管理员用户名和密码分别是admin和f8fdlOf88d9d0746(MD5加密的)。乌也来玩入侵接下来，我们复制f8fdlof88dgd0746到在线MD5破解网站http：／／www.cmd5.com上猜解，很幸运，一下子就查出了密码f0rmaty0u(如果查不出来的话，只好再换一个网站图3