Emlog简介
Emlog是“Every Memory Log”的简介,意即:点滴记忆。它是一款基于PHP语言哈MYSQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(Blog)。基于PHP和MYSQL的功能强大的博客以及CMS建站系统。致力于提供快速、稳定,且在使用上又及其简单、舒适的博客服务。安装和使用都非常方便。目前Emlog正在受到越来越多的广大用户的青睐。
漏洞分析
影响版本:Emlog<=5.3
利用条件:登录后台
漏洞描述:
本次漏洞出现的位置位于:emlog\src\admin\index.php中的第92-95行
<?php
/**
* 管理中心
* @copyright (c) Emlog All Rights Reserved
*/
require_once 'globals.php';
if ($action == '') {
$avatar = empty($user_cache[UID]['avatar']) ? './views/images/avatar.jpg' : '../' . $user_cache[UID]['avatar'];
$name = $user_cache[UID]['name'];
$serverapp = $_SERVER['SERVER_SOFTWARE'];
$DB = Database::getInstance();
$mysql_ver = $DB->getMysqlVersion();
$php_ver = PHP_VERSION;
$uploadfile_maxsize = ini_get('upload_max_filesize');
$safe_mode = ini_get('safe_mode');
if (function_exists("imagecreate")) {
if (function_exists('gd_info')) {
$ver_info = gd_info();
$gd_ver = $ver_info['GD Version'];
} else{
$gd_ver = '支持';
}
} else{
$gd_ver = '不支持';
}
include View::getView('header');
require_once(View::getView('index'));
include View::getView('footer');
View::output();
}
if ($action == 'update' && ROLE == ROLE_ADMIN) {
$source = isset($_GET['source']) ? trim($_GET['source']) : '';
$upsql = isset($_GET['upsql']) ? trim($_GET['upsql']) : '';
if (empty($source)) {
exit('error');
}
$temp_file = emFecthFile(OFFICIAL_SERVICE_HOST . $source);
if (!$temp_file) {
exit('error_down');
}
$ret = emUnZip($temp_file, '../', 'update');
@unlink($temp_file);
switch ($ret) {
case 1:
case 2:
exit('error_dir');
break;
case 3:
exit('error_zip');
break;
}
//update db
if(!$upsql) {
exit('succ');
}
$DB = Database::getInstance();
$setchar = $DB->getMysqlVersion() > '4.1' ? "ALTER DATABASE `" . DB_NAME . "` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;" : '';
$temp_file = emFecthFile(OFFICIAL_SERVICE_HOST . $upsql);
if (!$temp_file) {
exit('error_down');
}
$sql = file($temp_file);
@unlink($temp_file);
array_unshift($sql,$setchar);
$query = '';
foreach ($sql as $value) {
if (!$value || $value[0]=='#') {
continue;
}
$value = str_replace("{db_prefix}", DB_PREFIX, trim($value));
if (preg_match("/\;$/i", $value)) {
$query .= $value;
$DB->query($query);
$query = '';
} else{
$query .= $value;
}
}
$CACHE->updateCache();
exit('succ');
}
//phpinfo()
if ($action == 'phpinfo') {
@phpinfo() OR emMsg("phpinfo函数被禁用!");
}
也就是上面代码的最后一部分:
//phpinfo()
if ($action == 'phpinfo') {
@phpinfo() OR emMsg("phpinfo函数被禁用!");
}
根据以上代码我们知晓只要我们以普通用户或者管理员用户的身份实现登录之后,即可在实现对该网站的phpinfo信息的获取。
漏洞复现
首先以一个普通用户的身份实现登录
之后访问下面的链接:
127.0.0.1/emlog/src/admin/index.php?action=phpinfo
可以看到输出了该PHP网站中的主要配置信息。
解决方法
1、限制权限(仅仅允许管理员),修改代码如下
//phpinfo()
if ($action == 'phpinfo') {
if (ROLE == ROLE_ADMIN){
@phpinfo() OR emMsg("phpinfo函数被禁用!");
}
else{
emMsg('权限不足!','./');
}
}
2、由于配置信息是后台所需的,所以我们可以直接删除该函数。