OBlog 4.5-4.6 getshell 0day 漏洞利用演示

    由于原来的工具下载地址被封了,所以更新了下载地址。在文章最后有下!

    今天无意间看到了这篇文章,就像测试一下。

    后来按照他的步骤成功了,我觉得有点麻烦。就写了个工具给大家。

    这个程序貌似很多学校、政府网站都在用。。

    文章地址:http://www.90sec.org/docs/index.php?act=show&id=293

    废话不多说了,下面来说利用。

    这个程序貌似很多学校、政府网站都在用。。

    废话不多说了,下面来说利用。

    1、上谷歌 关键字 Copyright by oblog.cn

    2、寻找,注册一个用户

    就在这里注册。

     

    3、在工具上面把信息填好。点击登录。登录成功就好了。(第一步和第二步)

     

    4、填写验证码,然后点击 Go (第三步)

    如果成功了的话就会弹出像下图的信息框。

     

    5、打开菜刀,填写信息。 Shell的密码是 Noelle

    6、Good Luck   下面自己去邪恶吧。。

    利用工具下载:  下载下载下载

    -----后记---------------------------------------------------------------------------------------------------------------------------

    后来提权上去后本来想开个Vpn 谁知道万网的服务器不允许设置,后来就断网了。

    谁知道第3天恢复了,上去 账号被禁用了。再来 找到原来的Shell 提权。 上去后 发现了下面的一个文本。。

    本博客所有文章如无特别注明均为原创。
    复制或转载请以超链接形式注明转自n0elle's Blog,原文地址《OBlog 4.5-4.6 getshell 0day 漏洞利用演示
    标签:
    喜欢 | 0
    分享:

已经有10 条评论抢在你前面了~

  1. 沙发
    OG123 2012-07-25
    • 回复
      Noelle 2012-07-27
      @OG123 我测试都成了! http://www.czxhxx.org/oblog/u/a2216540/archives/2012/Noelle.asp;.html http://www.hfcs.com.cn:8081/blog//u/274/archives/2012/Noelle.asp;.html 那个登录的用户要自己去注册 shell密码不区分大小写 第二个网站设置了权限 不能在那个目录执行脚步文件 还必须要注册十分钟后才能GetShell 这个我没做判断,所以会直接提示Get失败。。
  2. 板凳
    OG123 2012-07-25

    楼主,你的步骤里用户名是noelle,然后密码是Noelle?区分大小写? 怎么一直密码错误捏

    • 回复
      Noelle 2012-07-27
      @OG123 用户要自己去网站上注册
  3. 地板
    路过 2012-07-15

    上楼说的对啊 总是提示密码错误

  4. 4楼
    无语的命运 2012-07-5

    为啥总是提示密码错误啊,明明密码是对的!总是提示密码错误,没登录成功一个…

  5. 5楼
    刮刮卡 2012-07-2

    博主厉害啊。。。