EMLog CMS 任意文件上传漏洞分析 (CVE-2023-44974)<\/h1>

漏洞概述<\/h2>
EMLog CMS 在插件上传功能中存在任意文件上传漏洞，攻击者可以通过上传恶意 ZIP 文件来在服务器上执行任意 PHP 代码。该漏洞影响最新版本（2.3.0），无需身份验证即可利用。<\/p>

环境搭建<\/h2>

准备工作<\/h3>

下载 EMLog CMS 最新版：https:\/\/github.com\/emlog\/emlog<\/li>

准备 PHP 环境（推荐使用 PHPStudy）<\/li> <\/ol>

安装步骤<\/h3>

解压项目文件到网站根目录<\/li>
创建 MySQL 数据库（名为 emlog）<\/li>
访问 http:\/\/localhost\/emlog2.3.0\/install.php<\/code><\/li>

配置数据库信息：

数据库名：emlog<\/li>
用户名：自定义<\/li>
密码：自定义<\/li>
<\/ul>
<\/li>
设置网站后台管理员信息<\/li>
完成安装<\/li>
<\/ol>
漏洞复现<\/h2>
攻击步骤<\/h3>


准备恶意 ZIP 文件结构：<\/p>
shell\/
└── shell.php
<\/code><\/pre>
其中 shell.php<\/code> 包含恶意代码，如：<\/p>
<?<\/span>php<\/span> phpinfo<\/span>(); ?><\/span>
<\/span><\/span><\/span><\/code><\/pre><\/li>

登录后台，访问插件上传功能（\/admin\/plugin.php<\/code>）<\/p>
<\/li>

上传 shell.zip<\/code> 文件<\/p>
<\/li>

上传成功后，文件将被解压到：<\/p>
\/content\/plugins\/shell\/shell.php
<\/code><\/pre>
<\/li>

访问恶意文件：<\/p>
http:\/\/localhost\/emlog2.3.0\/content\/plugins\/shell\/shell.php
<\/code><\/pre>
<\/li>
<\/ol>
漏洞分析<\/h2>
关键代码路径<\/h3>

上传处理：\/admin\/plugin.php<\/code><\/li>
解压函数：emUnzip()<\/code><\/li>
错误处理：view\/plugin.php<\/code><\/li>
<\/ul>
漏洞原理<\/h3>


上传流程：<\/p>

首先检查用户 token 和上传文件错误<\/li>
调用 emUnzip()<\/code> 函数处理上传的 ZIP 文件<\/li>
<\/ul>
<\/li>

emUnzip()<\/code> 函数关键逻辑：<\/p>
function<\/span> emUnzip<\/span>($zipfile, $path, $type =<\/span> 'plugin'<\/span>) {
<\/span><\/span>    \/\/ ... 校验代码 ...
<\/span><\/span><\/span><\/span>
<\/span><\/span>    if<\/span> ($type ==<\/span> 'plugin'<\/span>) {
<\/span><\/span>        $dir =<\/span> substr<\/span>($zip-><\/span>getNameIndex<\/span>(0<\/span>), 0<\/span>, -<\/span>1<\/span>);
<\/span><\/span>        $plugin_name =<\/span> $dir;
<\/span><\/span>        $re =<\/span> $dir .<\/span> '\/'<\/span> .<\/span> $plugin_name .<\/span> '.php'<\/span>;
<\/span><\/span>
<\/span><\/span>        if<\/span> (!<\/span>$zip-><\/span>locateName<\/span>($re)) {
<\/span><\/span>            return<\/span> false<\/span>;
<\/span><\/span>        }
<\/span><\/span>        \/\/ ... 解压代码 ...
<\/span><\/span><\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

漏洞关键点：<\/p>

函数要求 ZIP 文件中必须包含 [目录名]\/[目录名].php<\/code> 的结构<\/li>
但未对解压后的文件内容进行安全检查<\/li>
允许上传任意 PHP 文件并保持原始目录结构<\/li>
<\/ul>
<\/li>
<\/ol>
绕过限制<\/h3>

必须确保 ZIP 文件结构为 [dirname]\/[dirname].php<\/code><\/li>
示例：

有效：shell\/shell.php<\/code><\/li>
无效：test\/shell.php<\/code> 或 shell\/test.php<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
修复建议<\/h2>

对上传的 ZIP 文件内容进行严格检查<\/li>
限制解压后的文件类型，禁止 PHP 文件<\/li>
对插件文件进行签名验证<\/li>
将插件上传目录设置为不可执行<\/li>
<\/ol>
总结<\/h2>
该漏洞利用 EMLog CMS 插件上传功能中的 ZIP 文件处理缺陷，通过精心构造的 ZIP 文件结构绕过限制，最终实现任意文件上传。由于未对上传的 PHP 文件内容进行过滤，导致远程代码执行风险。<\/p>

EMLog CMS 任意文件上传漏洞分析 (CVE-2023-44974)<\/h1>

漏洞概述<\/h2> EMLog CMS 在插件上传功能中存在任意文件上传漏洞，攻击者可以通过上传恶意 ZIP 文件来在服务器上执行任意 PHP 代码。该漏洞影响最新版本（2.3.0），无需身份验证即可利用。<\/p>

环境搭建<\/h2>

漏洞复现<\/h2>

漏洞分析<\/h2>

总结<\/h2> 该漏洞利用 EMLog CMS 插件上传功能中的 ZIP 文件处理缺陷，通过精心构造的 ZIP 文件结构绕过限制，最终实现任意文件上传。由于未对上传的 PHP 文件内容进行过滤，导致远程代码执行风险。<\/p>

漏洞概述<\/h2>
EMLog CMS 在插件上传功能中存在任意文件上传漏洞，攻击者可以通过上传恶意 ZIP 文件来在服务器上执行任意 PHP 代码。该漏洞影响最新版本（2.3.0），无需身份验证即可利用。<\/p>

总结<\/h2>
该漏洞利用 EMLog CMS 插件上传功能中的 ZIP 文件处理缺陷，通过精心构造的 ZIP 文件结构绕过限制，最终实现任意文件上传。由于未对上传的 PHP 文件内容进行过滤，导致远程代码执行风险。<\/p>