Typora远程代码执行漏洞CVE-2023-2317

已于 2023-10-19 11:55:22 修改
阅读量125 收藏
点赞数
分类专栏: 技术干货 文章标签: 网络 网络安全 web安全 渗透测试
于 2023-09-18 17:10:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/132986634
版权
文章讲述了Typora16.7之前的版本中存在DOM-basedXSS漏洞,可通过加载定制Markdown文件执行恶意JS。攻击者可诱导用户打开恶意文件或复制文本,利用`update.html`中的漏洞实现远程恶意代码执行。
摘要由CSDN通过智能技术生成

请添加图片描述

0x00 前言

漏洞详情

版本16.7以前的Typora中的updater/update.html存在基于DOM的XSS,可以通过加载定制的markdown文件实现任意javascript代码执行。在这里插入图片描述

原理分析

漏洞触发点位于Typora的updater.html文件,通过特定协议typora://即可访问,同时该文件可以通过URL进行参数传递。update.html在Windows上的参考路径如下:

file:///C:/Program%20Files/Typora/resources/updater/updater.html
查看update.html源码。在这里插入图片描述HTML文件中的JavaScript代码会从当前URL的查询字符串中通过window.location.search提取名字为"labels"的参数值,解码后用JSON解析。然后使用document.querySelector(“#sum”).innerText来修改id为"sum"的HTML元素内的文字内容,将labels[4]和labels[5]中的特定部分插入其中。

同时使用document.querySelectorAll(“[data-label]”)找到所有"data-label"属性的HTML元素,将它们的属性值作为labels数组的key进行查询,并将查询到的value替换到innerHTML中的对应元素上。
在这里插入图片描述此时我们注意到几个关键点:

labels数组输入可控;

labels数据的数据没有检查和过滤;

labels数组中部分元素会被放到innerHTML的对应元素中去;(见图1)

只有与"data-label"有关的元素会被放到labels数据组,即只有前4个元素可行(见图2)

简言之,如果存在一个满足上述条件的恶意JS代码被包含在labels数组中,我们就可以实现恶意JS的远程执行。现在我们就可以构造payload了。

恶意payload如下:

小tricks:

此处使用reqnode(‘child_process’).exec()创建子进程执行指定命令,其中reqnode是typora自行封装的require函数;

https://github.com/typora/typora-issues/issues/2226

在实战利用中,攻击者可以诱导用户打开恶意markdown文件或者从网站复制恶意文本到typora,通过标签引用update.html,实现远程的恶意JS加载。

漏洞复现

新建一个任意的文本文件,名为poc.txt,输入恶意payload。

![在这里插入图片描述](https://img-blog.csdnimg.cn/5a0b5b83b14d48409507e31ab7d08c03.jpeg) 现在将poc.txt文件重命名为poc.md,并使用typora打开![。](https://img-blog.csdnimg.cn/e6bc390073ee4646a5d8ae3276b23c15.jpeg) 演示版本为:![在这里插入图片描述](https://img-blog.csdnimg.cn/a64dfd5cdc524af7aa540a13b7833123.jpeg)

原文地址: https://www.freebuf.com/vuls/377087.html

请添加图片描述

请添加图片描述

zkzq
关注
专栏目录
CVE-2023-2317Typora 远程代码执行漏洞复现
薛定谔嘚喵博客
09-06 551
Typora是一款编辑器。Typora 1.6.7之前版本存在安全漏洞,该漏洞源于通过在标签中加载 typora://app/typemark/updater/update.html ,可以在Typora主窗口中加载JavaScript代码
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
qq_51577576的博客
03-12 1882
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839) WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java应用服务器软件之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到14c版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件,以及OEPE开发工具。
Typora 远程代码执行漏洞(CVE-2023-2317)
qq_42751192的博客
08-29 1453
Typora 是一款由 Abner Lee 开发的轻量级 Markdown 编辑器,与其他 Markdown 编辑器不同的是,Typora 没有采用源代码和预览双栏显示的方式,而是采用所见即所得的编辑方式,实现了即时预览的功能,但也可切换至源代码编辑模式。
漏洞复现】Typora远程代码执行漏洞CVE-2023-2317
m0_65663088的博客
09-21 167
Typora 1.6.7之前版本存在安全漏洞,该漏洞源于通过在标签中加载 typora://app/typemark/updater/update.html ,可以通过加载定制的markdown文件实现任意javascript代码执行
Typora-远程命令执行漏洞复现-CVE-2023-2317
apple_52661176的博客
08-31 352
Typora 是一款支持实时预览的 Markdown 文本编辑器。Windows和Linux版本存在一个安全漏洞,具体表现为在updater/update.html中存在DOM-based XSS漏洞。这个漏洞的危害是允许攻击者通过加载精心制作的markdown文件,来执行恶意的JavaScript代码。如果用户在Typora中打开了这个恶意markdown文件,或者从一个恶意网页复制文本并将其粘贴到Typora中,那么攻击者可以通过在<embed>标签中引用update.html来利用这个漏洞
Discuz远程代码执行(CVE-2019-13956)
qq_51459600的博客
05-04 1922
Discuz! ML远程代码执行(CVE-2019-13956) 漏洞介绍: 该漏洞存在discuz ml(多国语言版)中,cookie中的language可控并且没有严格过滤,导致可以远程代码执行。 环境搭建: 靶机:CentOS7(10.10.10.137) docker环境下载: https://codeload.github.com/rhbb/CVE-2019-13956/zip/refs/heads/master 进入目录: docker-compuse up -d docker ps -a
Typora 远程代码执行漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
09-08 228
Typora 远程代码执行漏洞 Typora 是一款由 Abner Lee 开发的轻量级 Markdown 编辑器,与其他 Markdown 编辑器不同的是,Typora 没有采用源代码和预览双栏显示的方式,而是采用所见即所得的编辑方式,实现了即时预览的功能,但也可切换至源代码编辑模式。Typora内部实现了typora://协议,可以用于Typora访问特定文件。
Mac系统:Typora 0.9.9.24.6 - 目录遍历漏洞
科技向善
03-22 487
Exploit Title: Code execution via path traversal # Exploit Author: Dhiraj Mishra # Vendor Homepage: http://typora.io # Software Link: https://typora.io/download/Typora.dmg # Version: 0.9.9.24.6 # Test...
PCManFTP v2.0(CVE-2013-4730)漏洞分析报告
w_g3366的博客
08-02 655
文章目录PCManFTP v2.0漏洞分析报告1.软件简介2.漏洞成因3.构造触发漏洞的POC4.构造Exploit5.漏洞利用 PCManFTP v2.0漏洞分析报告 软件名称 PCManFTP 操作系统 Windows XP 软件版本 2.0 漏洞编号 CVE-2013-4730 漏洞模块 PCManFTPD2.exe 危害等级 超危 模块版本 2.0.7 漏洞类型 缓...
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
最新发布
baimao__Ch的博客
05-22 721
未分类Host 头攻击(高危)域名访问限制不严格(高危)URL 重定向(中危)会话劫持漏洞(中危)会话固定漏洞(中危)DNS 域传送漏洞(中危)检测到网站被黑痕迹(高危)传输层保护不足漏洞(中危)服务器启用了 TRACE Method 方法 (中危)点击劫持漏洞(X-Frame-Options 头缺失)(中危)启用了不安全的 HTTP 方法(启用了 OPTIONS 方法)(中危)Tomcat 版本过低漏洞 (中危)Apache Tomcat 示例目录漏洞 (中危)
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响的 NetScaler ADC 和 NetScaler Gateway 客户尽快安装相关的更新版本。 NetScaler ADC 和 ...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1203
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
MSF的使用教程
热门推荐
hackzkaq的博客
10-18 3万+
公众号:白帽子左一 MSF简介 Metasploit(MSF)是一个免费的、可下载的框架 它本身附带数百个已知软件漏洞,是一款专业级漏洞攻击工具。 当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了,仿佛一夜之间,任何人都可以成为黑客。 因为只要掌握MSF的使用方法,每个人都可以使用MSF来攻击那些未打过补丁或者刚刚打过补丁的漏洞。 也因此软件厂商再也不能推迟发布针对已公布漏洞的补丁了,因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所.
CS(Cobaltstrike)免杀和使用(附脚本)
hackzkaq的博客
07-23 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-hpb1分享! 一.Cobaltstrike简介 作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选 fireeye多次分析过实用cobaltstrike进行apt的案例。 Cobaltstrike安装 CS需要一个服务器来进行,我们把它放到服务器上。 然后运行./teaserver ip 密码即可。 然后使用CS客户端连接即可,输入对应ip、端口和密码。
SQL注入知识总结
hackzkaq的博客
01-20 1万+
更多黑客技能 公众号:暗网黑客 作者:掌控安全-veek SQL注入基础 SQL注入(英语:SQL injection),是发生于应用程序与数据库层的安全漏洞。 简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 OWASP Top10虽然常年有更改,但sql注入基本一直位于榜首,其优势在于极低的使用代价以及极高的危害性,地位可见一斑。 SQL注入的危害自然是很大的,通常有以.
【精选】小白是如何挖漏洞的(技巧篇)
hackzkaq的博客
07-29 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-山屿云 目录: 怎么找漏洞 找到后如何挖漏洞 关于通杀漏洞N day漏洞的挖掘 漏洞如何提交 每小结都有提供对应的案例,简直不要太nice! 这个月的SRC活动也快开始了,看到群里的小伙伴在问如何找漏洞,SQL注入的漏洞咋找,逻辑漏洞咋找,支付漏洞咋找,越权漏洞咋找,等等 其实这都一个道理,用谷歌语法,找通杀用fofa,这里演示几个类型的漏洞,其它的也是一个道理 第一个:SQL注入漏洞 AS:首先是SQL注入的,这个
CTF | CTF比赛题解分享
hackzkaq的博客
10-09 8235
前言:由于此次比赛的题目较多,所以这是这个比赛的第一篇wp,共20题,先记录一下,防止忘记。里面有些题目是新手题较为简单,但也有许多有意思的题目,真的是做的过程痛不欲生,做完才感觉到酣畅淋漓,废话不多说,开写。接下来就可以定位了。1.这次显示文件是个jpg格式的图片,但是打不开,16进制编辑器打开,看到文件头出现了IHDR头,就可以想到其实是个png格式的图片,再看到文件尾,更加证实了是个png文件。4.第三张照片是最头疼的,全都是高楼,能够看到的只有广西农信,时代丽都,搜索相关位置,找到了大概区域。
漏洞怎么挖 | SRC上榜技巧
hackzkaq的博客
02-01 5018
更多黑客技能 公众号:暗网黑客 作者:掌控安全学员-happy0717 这是一则招聘信息,有SRC提交证明的优先。 如果像我一样大专学历,没有工作经验那一定需要某种方法来证明自己是就业的水平。 我想漏洞盒子的公益SRC上榜应该是最简单的了。 虽然上榜不是找工作的硬性条件,但哪怕它可以给我们带来5%的就业机会也是值得的。 接下来我为大家列举一下在上榜的道路上可能会遇到的艰难险阻 1.不适宜的时机 我们回顾2020年漏洞盒子1月到12月公益SRC月榜TOP50的分数变化 从年初的最后一名只有20分 .
WinRAR远程代码执行漏洞CVE-2023-40477分析与缓解措施
资源摘要信息:"CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC" 知识点详细说明: 1. CVE-2023-40477简介 CVE-2023-40477是一个安全漏洞,它存在于流行的文件压缩软件WinRAR中。WinRAR是一个在个人电脑和服务器上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值