4ngel's blog

当黑客不是为钱,是实现自我价值。

发现Bo-Blog后台多种办法可以上传后门

22 Comments | 技术相关 | by angel | 15652 Views. | 2006-03-31, 6:16 AM

今天下了bo-blog最新版本,打算研究一下数据结构。做个转换程序出来。结果发现一些代码比较有意思。通过十多分钟的调试,成功通过此漏洞拿到了SHELL,不过可惜。是在后台。否则。。

不过前台也有几处代码。有点问题。没有细细研究。感觉希望不大。不过真开心。隔了这么久没有分析代码,居然现在还具备这种能力。太好了。

已经联系过BO-BLOG的作者BOB了。漏洞细节就不说了。

bob.gif

bob.gif - 大小: 14.72 K - 尺寸: 302 x 500 - 点击打开新窗口浏览全图

Tags: 后门 , bo-blog

上一篇: 提供FCKeditor、TinyMCE、eWebEditor精简版
下一篇: 有必要生成静态页面吗

相关文章

访客评论

  1. #1 Zero 2006-03-31, 8:36 AM
    是的,不规范的blog,bo-blog----闭门造车的结果.
    目前国内的php博客我只选择o-blog(风色)和SA
  2. #2 angel 2006-03-31, 9:21 AM
    bo-blog怎么是闭门造车了?不明白。

    SA是开发比较早的了。不过由于我专攻安全。所以对于开发。不敢说是领先的。不过至少够用。我只做实用的功能。没有BUG和没有新技术。就不会去更新。BO-BLOG是有小东西也发布一次更新。怪不得大家说BO-BLOG的作者勤快呢。经常更新。用户也多。而SA的作者是个懒虫。很少更新。呵呵。至少在我看来,1.X到2.0-2.5-2.8。无论任何版本的变化,都是比较大的。
  3. #3 Zero 2006-03-31, 9:58 AM
    未来3-5年,网站/代码---安全为重,当然硬件是先;SABLOG的宣传词可以这样写:
    生活中:若遇小偷大盗或抢劫者,你想到了警察?110?
    BLOG呢?SABLOG-X拥有X-MAN的.....,
    呵呵扯远了,就此打住
  4. #4 Zero 2006-03-31, 10:01 AM
    对了,建议angel对Bo-blog的漏洞研究说明等信息,可以直接给作者说说,不要在此发表叙述.--------个人建议
  5. #5 paco 2006-03-31, 11:37 AM
    还是打住,有可能引起相互攻击
  6. #6 magic1136 2006-03-31, 1:10 PM
    还是因该跟bo blog的作者联系一下
    具体的 应该协商
  7. #7 steven 2006-03-31, 1:47 PM
    "是的,不规范的blog,bo-blog----闭门造车的结果. "
    我現在用的就是Bo-Blog,很好啊,各有所長嘛,怎麽他就是是閉門造車呢?怎樣就不是閉門造車?Zero能給個説法嗎?!
  8. #8 angel 2006-03-31, 7:48 PM
    言重了。我没有互相攻击的意思。只是描述一下。我自会和作者联系的。
  9. #9 Bob 2006-03-31, 7:56 PM
    Angel上一下QQ吧,我已经加你了。
  10. #10 angel 2006-03-31, 8:18 PM
    BOB我上了啊。
Total: 22Page 1 of 3123Next ›

发表评论 点击获得Trackback地址