Oblog多用户博客程序Api/API_Response.asp页面过滤不...

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

OBlog是国内多用户博客使用度最多最广的多用户博客解决方案。 漏洞文件:api/API_Response.asp 打开api/API_Response.asp看开头处<pre>=================省略部分代码============================ if request.querystring(&quot;syskey&quot;)&lt;&gt;&quot;&quot; then syskey=lcase(request.querystring(&quot;syskey&quot;)) username=oblog.filt_badstr(trim(request(&quot;username&quot;))) if chksyskey then dim truepassword truepassword = rndpassword(16) if request.querystring(&quot;password&quot;)&lt;&gt;&quot;&quot; then password=trim(request(&quot;password&quot;)) cookiedate=trim(request(&quot;savecookie&quot;)) if cookiedate=&quot;0&quot; or cookiedate=&quot;&quot; then cookiedate=&quot;1&quot; oblog.savecookie username,truepassword,cookiedate oblog.execute (&quot;update oblog_user set truepassword = '&quot;&amp;truepassword&amp;&quot;' where username = '&quot;&amp;username&amp;&quot;' and password = '&quot;&amp;password&amp;&quot;'&quot;) else call logoutuser() end if end if else =================省略部分代码============================...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息