Emlog index.php接口的存在SQL注入漏洞 附POC

于 2025-04-08 23:03:07 发布
阅读量97 收藏
点赞数
分类专栏: 漏洞复现 文章标签: php sql 开发语言 安全 数据库 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nnn2188185/article/details/147079608
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. Emlog 简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

Emlog

2.漏洞描述

EMLOG 是一款轻量级开源博客和CMS建站系统,速度快、省资源、易上手,适合各种规模的站点搭建。Emlog index.php接口的存在SQL注入漏洞

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

Emlog

Emlog index.php接口的存在SQL注入漏洞

4.fofa查询语句

app="EMLOG"

5.漏洞复现

漏洞链接:https://xx.xx.xx.xx/index.php?keyword=%2527%20AND%20updatexml(1,concat(0x7e,database(),0

了解本专栏 订阅专栏 解锁全文 超级会员免费看
灵当CRM multipleUpload.php 文件上传致RCE漏洞复现
0xSec
09-09 527
灵当CRM multipleUpload.php 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
2024年12月近日漏洞 漏洞情报
CZDN_0dayPoz的博客
12-20 990
用友U8 Cloud ReleaseRepMngAction 存在SQL注入漏洞(CNVD-2024-33023)Sitecore CMS 未经身份验证export 任意文件读取漏洞复现(CVE-2024-6781)Cleo文件传输软件Synchronization 存在任意文件读取漏洞(CVE-2024-50623)MitelMiCollab 身份绕过导致任意文件读取漏洞复现(CVE-2024-41713).d。CRMEB save_basics存在任意文件下载漏洞(CVE-2024-52726)
EMLOG漏洞 | 针对emlog友情链接插件审计出的SQL注入漏洞
DYBOY-程序开发&网络安全
06-02 1748
这其实不能算是emlog 系统的漏洞,这问题主要是出现在开发者身上。由于作者在写代码的时候没有注意到过滤参数,因此而引发了SQL注入漏洞,望大家有安装过或类似的插件,请及时更新,本文章最后会提供修复版的插件! 0x01 Emlog友情链接自助插件 这款插件主要是为了减轻站长审核友情链接的压力,通过申请者自己填写表单的方式提交申请,后端检查对方网站是否添加本站的链接从,如果存在,则向数...
智能AC管理系统HTTPD-AC 1.0服务存在未授权访问漏洞
nnn2188185的博客
09-19 229
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发智能AC管理系统HTTPD-AC 1.0服务。
泛微e-mobile cdnfile 任意文件读取复现
iSee857的博客
09-19 1851
泛微e-mobile遵循以客户为中心,以企业中的事务为导向的出发点,帮助企业构建以员工为核心的移动统一办公平台。e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。厂商已发布补丁请及时修复。
智能AC管理系统信息泄露漏洞
一个努力学习网安的小牛马
09-19 526
本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任。智能AC管理系统是一个控制管理系统因存在未授权访问导致信息泄露。
泛微E-Mobile client/cdnfile 任意文件读取漏洞复现
0xSec
09-18 2236
泛微E-Mobile client/cdnfile 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
用友U8 Cloud service/approveservlet SQL注入漏洞复现
0xSec
11-01 399
用友U8 Cloud service/approveservlet 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
用友U8_Cloud-base64存在SQL注入漏洞
qq_36334672的博客
04-03 634
​ 用友-U8-Cloud-base64接口存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 3286
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
东胜物流软件 GetProParentModuTreeList SQL注入漏洞复现
0xSec
06-13 717
东胜物流软件 GetProParentModuTreeList 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
【NUUO 摄像头】(弱口令登录漏洞)
qq_65379983的博客
03-26 414
弱口令登录
代码审计:emlog SQL注入漏洞(CNVD-2018-26200)
gj204106的博客
09-17 958
注:参考小迪课程所写:emlog v6.0.0后台co***.php页面存在SQL注入漏洞。攻击者可利用该漏洞执行非法sql命令操作数据库敏感文件。
NUUO 网络摄像头命令执行漏洞
weixin_45971758的博客
02-06 2078
NUUO是中国台湾省NUUO公司旗下的一款网络视频记录器,该设备存在远程命令执行漏洞,攻击者可利用该漏洞执行任意命令,进而获取服务器的权限。网络视频记录器的CPU为Marvell Kirkwood 88F6281,CPU架构为基于ARMv5架构。该系统中有busybox,一个精简的环境,包含了许多最常用的UNIX命令和工具,如ls、cp、mv、grep、find、awk、sed等。无法执行复杂的任务和其他架构的程序。
NUUO摄像机 远程命令执行漏洞复现(脚本)(CVE-2025-1338)
iSee857的博客
02-19 895
漏洞存在于服务器端脚本文件/handle_config.php的print_file功能模块中,具体由未经验证的log参数引发命令注入风险。攻击者通过构造恶意HTTP请求,在log参数中注入操作系统命令(如"; cat /etc/passwd"或"| rm -rf /"等特殊字符组合),当后端使用system()、exec()等危险函数处理该参数时,可导致注入的命令被服务器执行。由于未实施有效的输入过滤和参数化处理机制,攻击者无需身份认证即可远程发起攻击,实现任意命令执行、敏感文件读取、系统权限提升等恶意
Vite 存在任意文件读取漏洞(CVE-2025-30208)
qq_43540348的博客
03-27 1092
Vite 是一个面向现代 Web 开发的轻量级前端构建工具,由 Vue.js 作者尤雨溪团队打造。它基于原生 ES 模块(ESM)提供极速的开发服务器启动和热更新,利用浏览器原生支持的特性实现按需编译,无需打包,显著提升开发效率。生产环境则通过 Rollup 进行高效构建,支持 TypeScript、JSX、CSS 预处理器等主流工具链,同时提供丰富的插件生态。Vite 以"快"为核心,重新定义了前端开发体验,尤其适合单页应用(SPA)、库工具等场景。
CVE-2025-2825 CrushFTP 权限绕过
最新发布
Arkmornings的博客
04-07 187
具体分析可以看 https://projectdiscovery.io/blog/crushftp-authentication-bypass。crushftp 国内用的不多,没有源码,在网上没找到历史版本的jar包。crushftp 国外用的多,国内 fofa 上只有几百个。该脚本和yakit上的稍有不同,它的请求包请求了两次。可以看y4tacker大佬的文章。
漏洞复现】NUUO摄像头远程命令执行漏洞
m0_46381222的博客
10-30 803
漏洞复现】NUUO摄像头远程命令执行漏洞
PHP实现EMlog博客古典式模板v2.5.zip解析
资源摘要信息: "基于PHPEMlog博客古典式模板 php版 v2.5.zip" 1. 关于PHP语言 PHP(Hypertext Preprocessor)是一种广泛使用的开源服务器端脚本语言,非常适合于网页开发和创建动态网页内容。它允许程序员编写可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值