长亭百川云 - 文章详情

Typecho install.php 后门分析

Web安全与前端

72

2024-07-13

点击上方“Web安全与前端”关注我们

最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了,相关代码如下:

然后果断在文件第一行加上了die:

今天下午刚好空闲下来,就赶紧拿出来代码看看。

漏洞分析

先从install.php开始跟,229~235行:

要让代码执行到这里需要满足一些条件:

首先是$_GET['finish']不为空,其次是referer需要是本站,比较容易实现。

继续跟反序列化的地方:

首先使用Typecho_Cookieget方法获取__typecho_configget方法如下:

可以看到给$value赋值这一行,如果$_COOKIE里面没有就从$_POST里面获取,所以我们测试漏洞的时候直接POST也是可以的,不用每次设置Cookie了。

反序列化漏洞要利用势必离不开魔术方法,我之前收集了一些和PHP反序列化有关的PHP函数:

下面这一行中,如果我们反序列化构造一个数组,其中adapter设置为一个类,那么就可以触发这个类的__toString()方法。

然后我们全局搜索__toString()方法,发现两个有搞头的文件:

我这里跟一下Feed.php,查看Feed.php__toString()方法,其中第290行:

其中调用了$item['author']->screenName$item$this->_items的foreach循环出来的,并且$this->_itemsTypecho_Feed类的一个private属性。

我们可以利用这个$item来调用某个类的__get()方法,上面说过__get()方法是用于从不可访问的属性读取数据,实际执行中这里会获取该类的screenName属性,如果我们给$item['author']设置的类中没有screenName就会执行该类的__get()方法,我们继续来全局搜索一下__get()方法。

发现/var/Typecho/Request.php中的__get()方法如下:

跟进$this->get()方法如下:

这里没什么问题,但最后一行:

跟进一下发现:

这个foreach里面判断如果$value是数组就执行array_map否则调用call_user_func,这俩函数都是执行代码的关键方法。而这里$filter$value我们几乎都是可以间接控制的,所以就可以利用call_user_func或者array_map来执行代码,比如我们设置$filter为数组,第一个数组键值是assert$value设置php代码,即可执行。

然后我们来完成Exploit如下:

然后运行该php,使用输出的payload访问:

至此该漏洞复现成功。

修复方法

  • 官方今天发布了1.1Beta版本修复了该漏洞,升级该版本,链接:http://typecho.org/archives/133/

  • 也可以删除掉install.php和install目录。

注:本文原创,转载请通过本公众号联系作者。

安全&前端

长按二维码
关注我们

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2