EMLog签名爆破利用技术分析<\/h1>

环境搭建<\/h2>
使用EMlog 2.5.3版本源码进行测试<\/li>
安装过程需要注意的关键文件：
install.php<\/code><\/li>
<\/ol>
源码关键点分析<\/h2>
1. Cookie生成机制<\/h3>
在install.php<\/code>文件中存在一个生成cookie的方法，简化后的核心逻辑如下：<\/p>
function<\/span> getRandStr<\/span>() {
<\/span><\/span>    $chars =<\/span> 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'<\/span>;
<\/span><\/span>    $randStr =<\/span> ''<\/span>;
<\/span><\/span>    for<\/span> ($i =<\/span> 0<\/span>; $i <<\/span> 32<\/span>; $i++<\/span>) {
<\/span><\/span>        $randStr .=<\/span> $chars[mt_rand<\/span>(0<\/span>, 61<\/span>)];
<\/span><\/span>    }
<\/span><\/span>    return<\/span> $randStr;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>该方法：<\/p>

循环32次<\/li>
每次使用mt_rand(0,61)<\/code>从$chars<\/code>中随机选取一个字符<\/li>
最终拼接成32位随机字符串<\/li>
<\/ul>
生成的字符串会与EM_AUTHCOOKIE_<\/code>前缀和分号拼接，赋值给AUTH_COOKIE_NAME<\/code><\/p>
2. 获取明文信息的方法<\/h3>
方法一<\/strong>：通过登录获取<\/p>

前提：知道账号密码或能注册新账号<\/li>
问题：注册账号默认被封禁，需管理员开启<\/li>
<\/ul>
方法二<\/strong>：通过用户登出获取<\/p>

登出时会返回AUTH_COOKIE_NAME<\/code>变量<\/li>
注意：返回的字符串可能包含等号和%20(空格)，这些是系统调用setcookie<\/code>方法时自动添加的<\/li>
<\/ul>
3. 随机数种子爆破<\/h3>
使用工具：php_mt_seed<\/code> (https:\/\/github.com\/openwall\/php_mt_seed)<\/p>
步骤：<\/p>

修改PHP脚本，设置allowable_characters<\/code>(密文)和pass<\/code>(cookie)<\/li>
对于32位字符串，需要在前面添加32组4个0的前缀<\/li>
使用Python生成合适的输入格式<\/li>
运行php_mt_seed<\/code>爆破出随机数种子<\/li>
<\/ol>
4. 鉴权绕过分析<\/h3>
getUserDataByLogin<\/code>方法存在SQL注入漏洞：<\/p>

关键点在于SQL语句的拼接方式<\/li>
可以构造恶意输入实现注入<\/li>
<\/ul>
5. Cookie构造方法<\/h3>
构造恶意cookie需要以下信息：<\/p>

558fb80a37ff0f45d5abbc907683fc02<\/code> - 博客安装时得到的UA头MD5加密值<\/li>
在Windows上的Google浏览器环境中搭建<\/li>
构造永真式实现绕过<\/li>
<\/ol>
注意：建议添加Referer头，否则可能无法成功进入后台<\/p>
攻击利用流程<\/h2>


获取或预测AUTH_COOKIE_NAME<\/code><\/p>

通过登出功能获取<\/li>
或通过爆破随机数种子预测<\/li>
<\/ul>
<\/li>

利用SQL注入绕过鉴权<\/p>

构造恶意cookie<\/li>
包含有效的UA头MD5值<\/li>
<\/ul>
<\/li>

进入后台后的利用<\/p>

上传Webshell的方法多样<\/li>
可参考公开资料实现RCE<\/li>
<\/ul>
<\/li>
<\/ol>
版本影响<\/h2>

多个EMlog版本存在类似问题<\/li>
关键点在于如何利用AUTH_KEY<\/code>和AUTH_COOKIE_NAME<\/code><\/li>
特别注意HTTP_USER_AGENT<\/code>的MD5值在认证中的作用<\/li>
<\/ul>
防御建议<\/h2>

使用更强的随机数生成方法替代mt_rand()<\/code><\/li>
修复SQL注入漏洞，使用参数化查询<\/li>
加强cookie生成机制的不可预测性<\/li>
对关键操作增加二次验证<\/li>
及时更新到最新安全版本<\/li>
<\/ol>
总结<\/h2>
该漏洞利用EMlog在cookie生成和验证过程中的多个弱点：<\/p>

可预测的随机数生成<\/li>
SQL注入漏洞<\/li>
认证机制设计缺陷<\/li>
<\/ol>
通过组合这些弱点，攻击者可以在不知道密码的情况下绕过认证，获取后台权限，最终可能导致服务器被完全控制。<\/p>