emlog最新信息泄露漏洞 

阿城's Blog - 关注网络安全 黑客技术爱好者-阿城's Blog是一个关注网络安全,热爱黑客技术,分享各种技术教程资讯 —关注交流|web安全|漏洞发布|网络攻防|信息安全|网站建设



emlog最新信息泄露漏洞

2018-1-18 13:34 作者:阿城 | 渗透测试 |


漏洞地址:

admin/index.php


QQ图片20180126133836.png


触发条件:

需要登录用户(至少是会员或者作者权限)


漏洞复现:

我们只需构造如下URL:

http://www.xxx.com/admin/index.php?action=phpinfo


直接访问本博客测试图:

QQ图片20180126134205.jpg

解决方法:


 1.此处获取phpinfo的信息应该是网站后台需要的,我们把这个函数删除即可
 2.限制权限(仅允许管理员),则修改如下代码:

//phpinfo()

   if ($action == 'phpinfo') { 

      if (ROLE == ROLE_ADMIN){ 

          @phpinfo() OR emMsg("phpinfo函数被禁用!"); } 

                else{ emMsg('权限不足!','./'); 

               

            }




文章作者:阿城
文章地址:http://www.ac166.cn/post-186.html
版权所有 © 转载时必须以链接形式注明作者和原始出处!

 

仅供学习与交流,遵循法律法规 & 如有侵犯您的版权请联系我删除 & 手机版

CopyRight © 2016 阿城's Blog - 关注网络安全 黑客技术爱好者.  All rights reserved.