typecho反序列化漏洞复现

最新推荐文章于 2024-05-09 21:14:40 发布
最新推荐文章于 2024-05-09 21:14:40 发布
阅读量1.9k 收藏 3
点赞数 2
分类专栏: 漏洞复现 文章标签: 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44005410/article/details/90385856
版权

0x01前言

再杭州西湖线下打AWD的时候web1就是这个漏洞,在这里复现一下,刚好巩固一下前几天学习的反序列化漏洞。

0x02漏洞分析

这是一个由unserialize()导致的一个反序列化漏洞,全局搜索unserialize(),在install.php的232行发现

<?php
  $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config')));
  Typecho_Cookie::delete('__typecho_config');
  $db = new Typecho_Db($config['adapter'], $config['prefix']);
  $db->addServer($config, Typecho_Db::READ | Typecho_Db::WRITE);
  Typecho_Db::set($db);
 ?>

利用Typecho_Cookie的get方法获取Cookie当中的__tyoecho_config的值,然后base解码在进行反序列化,get方法如下:

public static function get($key, $default = NULL)
{
    $key = self::$_prefix . $key;
    $value = isset($_COOKIE[$key]) ? $_COOKIE[$key] : (isset($_POST[$key]) ? $_POST[$key] : $default);
    return is_array($value) ? $default : $value;
}

通过给 v a l u e 赋 值 我 们 可 以 看 出 来 , 传 值 的 方 式 可 以 是 value赋值我们可以看出来,传值的方式可以是 value_COOKIE也可以是$_POST。找到了输入点,回头找一下,看看运行到这一步需要那些条件

//判断是否已经安装
if (!isset($_GET['finish']) && file_exists(__TYPECHO_ROOT_DIR__ . '/config.inc.php') && empty($_SESSION['typecho'])) {
exit;
}

// 挡掉可能的跨站请求
if (!empty($_GET) || !empty($_POST)) {
if (empty($_SERVER['HTTP_REFERER'])) {
    exit;
	}

$parts = parse_url($_SERVER['HTTP_REFERER']);
if (!empty($parts['port'])) {
    $parts['host'] = "{$parts['host']}:{$parts['port']}";
	}

if (empty($parts['host']) || $_SERVER['HTTP_HOST'] != $parts['host']) {
    exit;
	}
}

需要finish不为空,同时需要满足REFERER检测,必须为站内的地址。
根据上面的代码继续运行会调用$config来实例化Typecho_Db这个类,跟进去看一下在Db.php中。在Typecho_Db类中发现了一个构造函数:

    public function __construct($adapterName, $prefix = 'typecho_')
{
    /** 获取适配器名称 */
    $this->_adapterName = $adapterName;

    /** 数据库适配器 */
    $adapterName = 'Typecho_Db_Adapter_' . $adapterName;

    if (!call_user_func(array($adapterName, 'isAvailable'))) {
        throw new Typecho_Db_Exception("Adapter {$adapterName} is not available");
    }

    $this->_prefix = $prefix;

    /** 初始化内部变量 */
    $this->_pool = array();
    $this->_connectedPool = array();
    $this->_config = array();

    //实例化适配器对象
    $this->_adapter = new $adapterName();
}

发现了 a d p t e r N a m e 和 字 符 串 进 行 了 拼 接 , 而 adpterName和字符串进行了拼接,而 adpterNameadapterName是我们传入的$config[‘adapter’]里面adapter的值,如果adpter是一个类,就形成了类和字符串的拼接,这样就可以触发这个类__toString()方法

$adapterName = 'Typecho_Db_Adapter_' . $adapterName;

全局搜索__toString()方法,找到了三处,只在Feed.php中可进行利用

       	 	foreach ($this->_items as $item) {
            $content .= '<item>' . self::EOL;
            $content .= '<title>' . htmlspecialchars($item['title']) . '</title>' . self::EOL;
            $content .= '<link>' . $item['link'] . '</link>' . self::EOL;
            $content .= '<guid>' . $item['link'] . '</guid>' . self::EOL;
            $content .= '<pubDate>' . $this->dateFormat($item['date']) . '</pubDate>' . self::EOL;
            $content .= '<dc:creator>' . htmlspecialchars($item['author']->screenName) . '</dc:creator>' . self::EOL;

i t e

最低0.47元/天 解锁文章
HTJoker
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞篇——Typecho序列漏洞
爱国小白帽
03-03 5158
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
记一次typecho序列漏洞(第一次写poc版)
m0_62100902的博客
06-28 1291
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
Typecho博客搭建教程
最新发布
笔记中的日常,分享编程建站
05-09 510
Typecho是由type和echo两个词合成的,来自于开发团队的头脑风暴。Typecho基于PHP5开发,支持多种数据库,是一款内核强健﹑扩展方便﹑体验友好﹑运行流畅的轻量级开源博客程序。选用Typecho,搭建独一无二个人网络日志发布平台,享受创作的快乐。宝塔面板是一款服务器管理软件,支持Windows和Linux系统,旨在通过Web端轻松管理服务器,以提高运维效率。它提供了丰富的功能网站管理:用户可以创建、管理网站,包括添加域名、上传文件等操作,并支持网站备份、恢和迁移。
CVE-2018-18753 Typecho 序列漏洞 分析
2301_77512689的博客
04-21 410
漏洞概述:typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在序列漏洞,通过构造的序列字符串注入可以执行任意 PHP 代码。影响版本:typecho1.0(14.10.10)
Typecho序列漏洞寻找思路
问彡心的博客
08-01 1073
Typecho靶场一次成功的渗透思路,一定不能错过
Typecho代码审计-序列漏洞(超详细!!!)
小小小屿屿屿的博客
12-27 2318
本文以Typecho为靶场,通过代码审计,序列漏洞
typecho靶场序列漏洞
qq_59023242的博客
12-20 785
而最终我们想要传入的值应该是字符串而不是数组,所以在经过判断之后就应该使用函数call_user_func。方法 ==》 函数call_user_func ==》还需设置**$filter** ==》使用数组。referer头中的host不能为空,且请求头中的HOST要与referer头中的host一致。referer头中的host不能为空,且请求头中的HOST要与referer头中的host一致。参数可以控制的话,那么它的值就应该为,我们想要的参数。但是需要满足以下条件才能执行到。
typecho-1.1-15.5.12-beta.zip
03-17
Typecho 1.1-15.5.12 Beta 版本中的序列漏洞详解》 在IT安全领域,程序的漏洞是开发者和安全专家关注的重点。本文将详细探讨“typecho-1.1-15.5.12-beta.zip”压缩包中的Typecho 1.1版本至15.5.12 Beta版本中...
typecho主题模板,typecho后台模板
01-06
标题中的“typecho主题模板,typecho后台模板”指的是Typecho博客系统使用的界面设计和布局样式,即Typecho的前端展示部分。Typecho是一个轻量级的开源博客平台,允许用户自定义主题来改变博客的外观和用户体验。...
Typecho博客收费主题,handsome 6.0
06-15
标题中的“Typecho博客收费主题,handsome 6.0”指的是一个专为Typecho博客平台设计的付费主题,版本号为6.0。Typecho是一款开源、轻量级的博客系统,它允许用户通过简单的界面创建和管理自己的博客。"handsome"是这...
typecho cms 利用工具
07-30
typecho cms漏洞利用工具可以直接getshell 功能强大使用方便
精美扁平自适应typecho后台主题Fresh.zip
01-17
精美扁平自适应typecho后台主题Fresh 曾用名:PrettyFresh主题采用了目前最流行的Bootstrap前端开发框架与typecho进行深度适配;主题在继承typecho一贯简单高效风格的同时让其更加贴合代年轻用户的审美。自适应+...
typechov漏洞.zip
08-10
2. "typecho_v10_unserialize_exp_fputs.php" - 这个文件名暗示它是一个针对Typecho 1.0版本的序列漏洞的exploit,其中可能使用了`fputs`函数。`fputs`是PHP中的一个函数,用于向文件写入数据,这可能意味着攻击...
序列-typecho2靶场搭建(超详细)
qq_59020256的博客
01-26 354
注意这里需要数据库名,如果我们没有执行上一个导入数据库的步骤那么便不会存在typechpo的数据库名,就会报错,因此我们需要先导入数据库再进行上述步骤便不会出错误了。这里选择使用原有数据库。
typecho序列漏洞(详细过程)
qq_61991235的博客
03-13 1781
typecho序列 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
expsky.php,Typecho漏洞利用工具首发,半分钟完成渗透
weixin_39614521的博客
03-12 512
原标题:Typecho漏洞利用工具首发,半分钟完成渗透*本文原创作者:expsky,本文属FreeBuf原创奖励计划,未经许可禁止转载声明:本工具由expsky原创,仅用于技术研究,不恰当使用会对网站造成危害,严禁违法使用,否则后果自负。Typecho是一个使用较为广泛的轻量博客系统,前几天爆出了一个序列远程代码执行漏洞,关于该漏洞的分析见《Typecho序列漏洞导致前台getshell》...
Typecho-CMS序列任意代码执行漏洞分析和
weixin_43058307的博客
08-10 596
Typecho-CMS序列 代码审计 漏洞的入口出在install.php //判断是否已经安装 if (!isset($_GET['finish']) && file_exists(__TYPECHO_ROOT_DIR__ . '/config.inc.php') && empty($_SESSION['typecho'])) { exit; } // 挡掉可能的跨站请求 if (!empty($_GET) || !empty($_POST)) {
漏洞分析之Typecho二连爆
hl1293348082的专栏
04-04 1949
这段时间 Typecho 在十几天之内连续爆了两个最高可 getshell 的洞,先是 SSRF 可打内网,再是序列直接前台 getshell ……安全性这方面堪忧…… 跟着师傅们的文章,简单地分析一下这两次漏洞,第二个序列的洞的溯源思路值得学习一波~ 虽然很多大号都分析过这个漏洞,写的也很详细,我作为一个初学者自己分析学习一下也是很有必要的,官方人员已经对这些漏洞进行的及时的修补并且推出了最新的版本,如果有用到这个博客的同学赶紧升级。 Typecho 1.0 (14.10.10) —— SS
typecho markdown
08-16
Markdown 是一种简单、直观的文本标记语言,可以快速排版和格式文章。 4. 预览和发布文章:在编辑过程中,你可以通过点击编辑器上方的「预览」按钮来查看 Markdown 格式的文章预览效果。当编辑完成后,点击「发布...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值