Emlog漏洞————Emlog部落格系統後臺無視驗證碼暴力破解實現登入

影響版本：Emlog<=5.3.1  

漏洞演示環境的搭建：

使用PHPstudy在本地搭建PHP+MYSQL+Apache環境：

 

注：如果在本地安裝了IIS服務，會使得埠衝突，此時我們要進行修改埠（建議可以修改Apache的埠為8080，之後重啟服務即可）

emlog的安裝：

我們從網上下載到emlog的原始碼，我們下載下來，並且解壓到我們安裝的PHPstudy的WWW目錄下面：

 

之後我們在瀏覽器中訪問：emlog下的src:

 

之後他會自動跳轉至：http://127.0.0.1:8080/emlog/src/install.php

 

之後我們在本地進行建立，填寫資料庫名、資料庫密碼、使用者名稱以及使用者密碼即可！

漏洞分析

我們在本地訪問登入頁面：

 

我們可以在admin/ globals.php下檢視到該登入頁面的驗證機制：

之後我們轉至LoginAuth :: checkUser這個關鍵函式驗證的位置我們看他實現的過程：

在include \ lib \ loginauth.php檔案中：

 

實現使用者名稱、密碼、驗證碼的驗證！

當登入失敗會呼叫loginPage方法，我們繼續檢視：

但是遺憾的是在整個登入流程並沒有立即對驗證碼的SESSION進行銷燬。便導致了漏洞的產生

漏洞利用

在整個流程中，只需要獲取一次驗證碼，接下來就不用獲取便可使用爆破了。

下面我們在本地物理主機中進行訪問：

 

 

設定代理，開啟burp suite進行抓包！

首先我們進行測試：

User:admin  pws:1111111111

 

之後我們使用burp suite進行一次完整的爆破測試：

User ：admin psw:111111

之後進入Intruder模組：

設定變數：

 

設定攻擊字典（此處我們使用數字進行演示所以就設定為Number）：

 

開始爆破：

 

我們找到我們開始時設定的密碼與賬號，爆破成功！同時也說明此漏洞存在，當我們面對的是一個真實的網站是我們可以使用“字典進行暴力破解”，以此來獲得賬號與密碼！

 

成功進入後臺！

 

實驗Emlog原始碼下載：https://pan.baidu.com/s/1bvouC6M6TpVcrzcCqg11UQ