发现Bo-Blog后台多种办法可以上传后门

Written by angel on 2006, March 31, 6:16 AM. 技术相关

今天下了bo-blog最新版本,打算研究一下数据结构。做个转换程序出来。结果发现一些代码比较有意思。通过十多分钟的调试,成功通过此漏洞拿到了SHELL,不过可惜。是在后台。否则。。

不过前台也有几处代码。有点问题。没有细细研究。感觉希望不大。不过真开心。隔了这么久没有分析代码,居然现在还具备这种能力。太好了。

已经联系过BO-BLOG的作者BOB了。漏洞细节就不说了。

图片附件:
bob.gif 大小: 14.72 K 尺寸: 302 x 500 浏览: 995 次 点击打开新窗口浏览全图

Tags: bo-blog, 后门

« 上一篇 | 下一篇 »

相关文章

访客评论

是的,不规范的blog,bo-blog----闭门造车的结果.
目前国内的php博客我只选择o-blog(风色)和SA
Post by Zero on 2006-03-31, 8:36 AM #1
bo-blog怎么是闭门造车了?不明白。

SA是开发比较早的了。不过由于我专攻安全。所以对于开发。不敢说是领先的。不过至少够用。我只做实用的功能。没有BUG和没有新技术。就不会去更新。BO-BLOG是有小东西也发布一次更新。怪不得大家说BO-BLOG的作者勤快呢。经常更新。用户也多。而SA的作者是个懒虫。很少更新。呵呵。至少在我看来,1.X到2.0-2.5-2.8。无论任何版本的变化,都是比较大的。
Post by angel on 2006-03-31, 9:21 AM #2
未来3-5年,网站/代码---安全为重,当然硬件是先;SABLOG的宣传词可以这样写:
生活中:若遇小偷大盗或抢劫者,你想到了警察?110?
BLOG呢?SABLOG-X拥有X-MAN的.....,
呵呵扯远了,就此打住
Post by Zero on 2006-03-31, 9:58 AM #3
对了,建议angel对Bo-blog的漏洞研究说明等信息,可以直接给作者说说,不要在此发表叙述.--------个人建议
Post by Zero on 2006-03-31, 10:01 AM #4
还是打住,有可能引起相互攻击
Post by paco on 2006-03-31, 11:37 AM #5
还是因该跟bo blog的作者联系一下
具体的 应该协商
Post by magic1136 on 2006-03-31, 1:10 PM #6
"是的,不规范的blog,bo-blog----闭门造车的结果. "
我現在用的就是Bo-Blog,很好啊,各有所長嘛,怎麽他就是是閉門造車呢?怎樣就不是閉門造車?Zero能給個説法嗎?!
Post by steven on 2006-03-31, 1:47 PM #7
言重了。我没有互相攻击的意思。只是描述一下。我自会和作者联系的。
Post by angel on 2006-03-31, 7:48 PM #8
Angel上一下QQ吧,我已经加你了。
Post by Bob on 2006-03-31, 7:56 PM #9
BOB我上了啊。
Post by angel on 2006-03-31, 8:18 PM #10
Total:2012Next ›

发表评论

评论内容 (必填):

My E-mail