Emlog漏洞 | EMLOG博客系统存在暴力破解漏洞
2017-11-03 11:25
344 查看
漏洞简介:
Emlog博客系统默认后台登陆地址为http://域名/admin/login.php而后台登陆时,错误情况下,验证码未刷新,导致可暴力破解登陆管理员账号
低危漏洞,但是在emlog5.3.1和6.0测试版本均存在
漏洞成因:
同时,其6.0测试版本也未修复。
漏洞验证/演示:
下载官方的emlog5.3.1版本
http://www.emlog.net/
http://bbs.emlog.net/forum.php?mod=attachment&aid=MTk5MjF8OGI3OWViYWR8MTUwOTI0NjMzMnw0MjA4OXwzNjU4NQ%3D%3D
http://127.0.0.1:81/admin/
已知管理员用户名为:admin(可在前端文章页寻找作者用户名)
登陆后台:http://127.0.0.1:81/admin/
随便输入admin admin123 qdiwx,点击登陆
然后burpsuite抓包
CTRL+I尝试暴力破解:
成功爆破出密码,所以再次验证:验证码没消除会话,导致可暴力破解漏洞的存在
解决办法:
在/admin/globals.php文件中修改:
技术交流,合法测试!
欢迎加入QQ交流群:127785979
原文地址:http://www.dyboy.cn/post-900.html
相关文章推荐
- emlog个人博客系统后台存在权限提升漏洞
- [典型漏洞分享]YS的防暴力破解设计存在缺陷
- Oblog博客系统存在SQL注入漏洞http://www.anqn.com
- java网络编程五:暴力法破解登录系统的完全实现(木子)
- 警惕黑客使用Lion系统漏洞破解和修改用户登陆密码
- 博客系统漏洞解析 之 评论灌水机 推荐
- 暴力破解!ioffice.net 政务系统安装
- 警惕黑客使用Lion系统漏洞破解和修改用户登陆密码
- ZFS 存在严重安全漏洞 ,可导致系统引导失败
- 警惕黑客使用Lion系统漏洞破解和修改用户登陆密码
- java网络编程五:暴力法破解登录系统的完全实现(木子)
- 【Linux系统】防暴力破解
- 作为linux系统,同样存在很多漏洞
- “上传漏洞”以及“登录页暴力破解”的防御
- 使用Fail2ban阻挡针对公司邮件系统的暴力破解
- Linu防止 系统暴力破解
- [漏洞利用]某站点登录接口暴力破解脚本
- 专家提醒:博客网站中存在的安全漏洞隐患
- java网络编程五:暴力法破解登录系统的完全实现
- 很多博客都存在的跨站漏洞!