设置背景图片
模块透明度调整:
Emlog漏洞 | EMLOG博客系统存在暴力破解漏洞
首页 > 渗透测试 作者:H0rk4 2018年2月7日 热度:582 字号: 评论: 2 百度已收录
时间:2018-2-7 18:55 热度:582°  评论:2 条 


漏洞简介:
Emlog博客系统默认后台登陆地址为http://域名/admin/login.php
而后台登陆时,错误情况下,验证码未刷新,导致可暴力破解登陆管理员账号
低危漏洞,但是在emlog5.3.1和6.0测试版本均存在
 
漏洞成因:


同时,其6.0测试版本也未修复。
 
漏洞验证/演示:
下载官方的emlog5.3.1版本
http://www.emlog.net/
http://bbs.emlog.net/forum.php?mod=attachment&aid=MTk5MjF8OGI3OWViYWR8MTUwOTI0NjMzMnw0MjA4OXwzNjU4NQ%3D%3D

http://127.0.0.1:81/admin/

已知管理员用户名为:admin(可在前端文章页寻找作者用户名)

登陆后台:http://127.0.0.1:81/admin/

随便输入admin admin123 qdiwx,点击登陆
然后burpsuite抓包


CTRL+I尝试暴力破解:

成功爆破出密码,所以再次验证:验证码没消除会话,导致可暴力破解漏洞的存在
 
解决办法:
在/admin/globals.php文件中修改:


不懂得评论留在下方!

正文到此结束

热门推荐

二维码加载中...
版权声明:若无特殊注明,本文皆为《 H0rk4 》原创,转载请保留文章出处。
本文链接:Emlog漏洞 | EMLOG博客系统存在暴力破解漏洞 http://www.8ohk.com/?post=55

发表吐槽

你肿么看?

你还可以输入 250 / 250 个字

嘻嘻 大笑 可怜 吃惊 害羞 调皮 鄙视 示爱 大哭 开心 偷笑 嘘 奸笑 委屈 抱抱 愤怒 思考 日了狗

已有2条吐槽

匿名 板凳 2018-02-07 21:36

好叼
 未知操作系统   未知浏览器

匿名 沙发 2018-02-07 19:22

face 好羞射,文章真的好赞啊,顶博主!
 未知操作系统   未知浏览器



本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除  

Copyright © 2017-2019  H0rk4's Blog - 致力关注于黑客技术、渗透测试、网络信息安全、1980黑客团队   站长: H0rk4  主题1980黑客团队   H0rk4