发现Bo-Blog后台多种办法可以上传后门

angel 发表于 2006-03-31, 6:16 AM. 发表在: 技术相关

今天下了bo-blog最新版本,打算研究一下数据结构。做个转换程序出来。结果发现一些代码比较有意思。通过十多分钟的调试,成功通过此漏洞拿到了SHELL,不过可惜。是在后台。否则。。

不过前台也有几处代码。有点问题。没有细细研究。感觉希望不大。不过真开心。隔了这么久没有分析代码,居然现在还具备这种能力。太好了。

已经联系过BO-BLOG的作者BOB了。漏洞细节就不说了。

bob.gif

bob.gif 大小: 14.72 KB 尺寸: 302 x 500 浏览: 1151 次 点击打开新窗口浏览全图

关键词: 后门 , bo-blog

上一篇: 提供FCKeditor、TinyMCE、eWebEditor精简版
下一篇: 有必要生成静态页面吗

相关文章
访客评论 点击获得Trackback地址
#1
回复 Zero 2006-03-31, 8:36 AM
是的,不规范的blog,bo-blog----闭门造车的结果.
目前国内的php博客我只选择o-blog(风色)和SA
#2
回复 angel 2006-03-31, 9:21 AM
bo-blog怎么是闭门造车了?不明白。

SA是开发比较早的了。不过由于我专攻安全。所以对于开发。不敢说是领先的。不过至少够用。我只做实用的功能。没有BUG和没有新技术。就不会去更新。BO-BLOG是有小东西也发布一次更新。怪不得大家说BO-BLOG的作者勤快呢。经常更新。用户也多。而SA的作者是个懒虫。很少更新。呵呵。至少在我看来,1.X到2.0-2.5-2.8。无论任何版本的变化,都是比较大的。
#3
回复 Zero 2006-03-31, 9:58 AM
未来3-5年,网站/代码---安全为重,当然硬件是先;SABLOG的宣传词可以这样写:
生活中:若遇小偷大盗或抢劫者,你想到了警察?110?
BLOG呢?SABLOG-X拥有X-MAN的.....,
呵呵扯远了,就此打住
#4
回复 Zero 2006-03-31, 10:01 AM
对了,建议angel对Bo-blog的漏洞研究说明等信息,可以直接给作者说说,不要在此发表叙述.--------个人建议
#5
回复 paco 2006-03-31, 11:37 AM
还是打住,有可能引起相互攻击
#6
回复 magic1136 2006-03-31, 1:10 PM
还是因该跟bo blog的作者联系一下
具体的 应该协商
#7
回复 steven 2006-03-31, 1:47 PM
"是的,不规范的blog,bo-blog----闭门造车的结果. "
我現在用的就是Bo-Blog,很好啊,各有所長嘛,怎麽他就是是閉門造車呢?怎樣就不是閉門造車?Zero能給個説法嗎?!
#8
回复 angel 2006-03-31, 7:48 PM
言重了。我没有互相攻击的意思。只是描述一下。我自会和作者联系的。
#9
回复 Bob 2006-03-31, 7:56 PM
Angel上一下QQ吧,我已经加你了。
#10
回复 angel 2006-03-31, 8:18 PM
BOB我上了啊。
#11
回复 paco 2006-03-31, 10:04 PM
强烈建议两大x-man合并
#12
回复 Bob的部落格 2006-03-31, 10:38 PM
感谢安全天使
和Sablog的作者交流了一下,有不少收获,嘿嘿。后续再表。...
#13
回复 heartnn 2006-04-01, 7:07 AM
如果说安全第一的话我觉得没必要,有几个无聊的人非要给你后门?你又得罪谁了?
#14
回复 北辰 2006-04-02, 1:31 AM
BOB加油~HOHO~

大家各分千秋,表争咯。

BOB也在他的博客上说到和ANGEL探讨咯~~

都加油吧~
#15
回复 21sta 2006-04-02, 5:00 AM
各有千秋,互相学习,大家一起分享是最好的!sablog和bo-blog都是好样的^_^
Total: 2512Next ›
发表评论

评论内容 (必填):