Typcho反序列化漏洞分析

最新推荐文章于 2024-03-16 02:32:37 发布
原创 最新推荐文章于 2024-03-16 02:32:37 发布 · 424 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全漏洞

本文详细剖析了Typecho早期版本的反序列化漏洞,涉及Cookie、Db类和Feed类中的魔术方法调用,展示了如何通过构造特定POC利用__toString与__get方法实现远程代码执行。

Typcho反序列化漏洞分析

文章首发:https://xz.aliyun.com/t/9428

影响范围:

2017年10月24日之前的所有版本

环境搭建:

下载地址:http://typecho.org/,这里主要是说下,在intall之前,需要我们手动去数据库添加Typecho数据库

我之前去官网下载的0.9的版本,结果复现失败,想下载之前的版本,官网也没有了,这里找到了1.0.14版本

链接:https://pan.baidu.com/s/1Cc7qJfGSwVop9L1X4pC67Q 提取码:fwvp

漏洞分析:

漏洞入口:install.php246行

<?php
	$config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config')));
	$type = explode('_', $config['adapter']);
	$type = array_pop($type);

	try {
   
   
		$installDb = new Typecho_Db($config['adapter'], $config['prefix']);
		$installDb->addServer($config, Typecho_Db::READ | Typecho_Db::WRITE);
    	}   
?>

明显的一个反序列化函数,但是如何利用呢,反序列化能够利用的点必须要有相应的魔术方法配合。其中比较关键的有这几个。

__destruct()
__wakeup()
__toString()
__call()
__get()

其中__destruct()是在对象被销毁的时候自动调用,__Wakeup在反序列化的时候自动调用,__toString()是在调用对象当作字符串的时候自动调用。__call()是在对象调用的方法不存在的时候自动调用。__get()是在读取不可访问的属性的值的时候自动调用

先查看Typecho_Cookie类中的get()函数吧:存在于Cookie.php

在这里插入图片描述

这里的key即是__typecho_config,我们可以通过COOKIE或者POST传参并返回成为configinstall.php又存在这个代码:

$installDb = new Typecho_Db($config['adapter'], $config['prefix']);

说明Typecho_Db类的参数我们可控,回溯Typecho_Db类:存在于Db.php

在这里插入图片描述

这里的adapterName就是我们可控的config,发现这里对adapterName进行了字符替换,那当它为一个类的时候,那么就会自动调用__toString()方法

所以这里如果构造的反序列化是一个数组,其中adapter设置为某个类,就可以触发相应类的__toString方法

全局搜索toString

Typecho/var/Typecho/Feed.php可以利用:

在这里插入图片描述

顺着分析__tostring()函数

290行 调用了$item['author']->screenName$items这是一个当前类的私有变量,$item又是由$items遍历而来,所以可控

在这里插入图片描述

这里的item['author']调用了sceenName方法,若item['author']为一个类时,而且不存在sceenName方法时,就会调用__get魔术方法,所以全局搜索__get魔术方法。

/var/Typecho/Request.php发现可以利用

最低0.47元/天 解锁文章
typecho反序列化漏洞复现
weixin_71090536的博客
09-05 480
通俗解释如下代码为:call_user_func()函数 调用 assert() 函数,将 "phpinfo()" 这个参数给到 assert() 函数中,下方代码也可写为:assert("phpinfo()");3. 在访问 typecho_1.0(14.10.10)_unserialize_phpinfo.php 页面时,找到 base64 编码的字符串。call_user_func():回调函数,是危险函数,可利用其构造后门。cookie:__typecho_config=恶意代码字段。
Typecho框架漏洞
weixin_62693307的博客
11-19 782
这里说的漏洞是xss漏洞,学过渗透的应该都学过,我在这里就不过多阐述了,下面我们直接进入正题。然后再次访问时即可弹出一个框,这里学过xss漏洞的应该知道是什么意思了。这里说的框架漏洞只适用于1.2.0版本及以下的版本。然后等管理员访问评论是会使得js文件也给运行起来。然后这里就像上面反弹xss代码一样书写网址。生成的一句话目录路径可以自己改,上面的如下。在404.php中,这样路径的问题就解决了。这样我们就可以用蚁剑或其他工具连接后台了。
TypechoCMS反序列化漏洞(CVE-2018-18753)
m0_57379855的博客
03-12 1474
TypechoCMS反序列化漏洞(CVE-2018-18753Typecho反序列化漏洞php-pocpython-poc Typecho反序列化漏洞 PHP版本:5.4.5nts(PHPStudy) 在数据库新建一个数据库typecho 只要传一个不存在的成员变量,就会触发_get()魔法函数 使用_get()调用applyFilter() call_user_func() 可以执行任意命令,包括写入文件 php-poc python-poc 重点函数 ...
Typecho反序列化漏洞寻找思路
问彡心的博客
08-01 1214
Typecho靶场一次成功的渗透思路,一定不能错过
Typecho重大漏洞
qq_43676541的博客
04-15 543
#简介 Typecho是一个基于PHP的博客软件。Typecho是在GNU通用公共许可证2.0下发布的。 Typecho在1.1版本中存在反序列化漏洞,当系统未安装的情况下,攻击者可以利用ins
PHP魔术方法:Typecho反序列化漏洞
LanceaKing的博客
11-22 1559
服务器安装typecho之后没有删除install.php,导致可以在前台利用反序列化漏洞执行任意代码。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
【MySQL JDBC 反序列化漏洞分析】 MySQL JDBC 反序列化漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于与数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
typechov漏洞.zip
08-10
typecho框架漏洞-php反序列化任意代码执行,附加poc-exp,适合理解序列化漏洞
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
typecho靶场反序列化漏洞复现
qq_59023242的博客
12-20 1008
而最终我们想要传入的值应该是字符串而不是数组,所以在经过判断之后就应该使用函数call_user_func。方法 ==》 函数call_user_func ==》还需设置**$filter** ==》使用数组。referer头中的host不能为空,且请求头中的HOST要与referer头中的host一致。referer头中的host不能为空,且请求头中的HOST要与referer头中的host一致。参数可以控制的话,那么它的值就应该为,我们想要的参数。但是需要满足以下条件才能执行到。
Typecho CMS 反序列化漏洞(CVE-2018-18753)复现
最新发布
2301_80661529的博客
03-16 832
安装:创建数据库typecho再进入安装程序,输入数据库密码,设置登录密码即可直接使用即可。
typecho反序列化漏洞
cxrpty的博客
03-02 812
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 实验环境:php5.4 实验步骤: 1.漏洞形成的原因 2.由于对finish参数、请求头HTTP_HOST及post_typecho_config数据进行验证,所以...
16-PHP代码审计——Typecho1.0.14反序列化漏洞
网络安全
05-26 1448
漏洞受影响版本: Typecho_v1.0.14以下 环境: php5以上 Typecho_v1.0.14.tar poc: __typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9pdGVtcyI7YToxOntpOjA7YTo1O
Typecho反序列化漏洞分析
qq_41891666的博客
07-06 1678
0x01 环境准备 首先 git clone 到本地,然后phpstorm 打开, git reset hard 到漏洞修复之前的commit 0x02 审计 首先在install.php 开头就做出了两个判断,需要finish 参数以及refer头要是本站的值 核心漏洞处: 第一行直接反序列化Typecho_Cookie::get(’__typecho_config’),没有进行任何过滤 跟进Typecho_Cookie::get() 函数 发现此函数是用来取cookie 中的值的,但是如果对应
typecho反序列化漏洞(详细过程)
qq_61991235的博客
03-13 1943
typecho反序列化 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
Typecho代码审计-反序列化漏洞复现(超详细!!!)
小小小屿屿屿的博客
12-27 3879
本文以Typecho为靶场,通过代码审计,复现了反序列化漏洞
Java反序列化漏洞演示与分析POC
在信息安全领域中,Java 反序列化漏洞是较为常见的安全问题,该漏洞允许攻击者通过发送恶意序列化的数据到目标应用中,从而执行攻击者选择的代码。SerializablePoc.zip 文件中包含的示例代码(即 POC,Proof of ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值