当前位置:网站首页 > 网络安全 > 0day漏洞 > 正文

EMLOG最新敏感信息泄漏漏洞

花落花落 2018-01-18 581 0

/admin/index.php

EMLOG最新敏感信息泄漏漏洞 0day漏洞 第1张

如上图,我们只要构造如下的URL:


http://www.9bwl.com/admin/index.php?action=phpinfo

直接访问:

测试我的博客如下图

EMLOG最新敏感信息泄漏漏洞 0day漏洞 第2张

触发条件:

需要登陆(至少是网站的会员/作者权限)


处理方法:

1.此处获取phpinfo的信息应该是网站后台需要的,我们把这个函数(上图红线方框内代码)删除即可;

2.限制权限(仅允许管理员),则修改为如下代码:

//phpinfo()  
if ($action == 'phpinfo') {  
    if (ROLE == ROLE_ADMIN){  
        @phpinfo() OR emMsg("phpinfo函数被禁用!");  
    }  
    else{  
        emMsg('权限不足!','./');  
    }  
}  

EMLOG最新敏感信息泄漏漏洞 0day漏洞 第3张



转载请注明来自花落博客,本文标题:《EMLOG最新敏感信息泄漏漏洞》

标签:黑客博客漏洞0day渗透黑客

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

关于我

欢迎关注微信公众号