Typecho和WordPress一樣，是一款簡(jiǎn)潔的博客程序。相比第二者它更加簡(jiǎn)單輕量，本身最新爆出最新版存在存儲(chǔ)xss漏洞。本文簡(jiǎn)單的進(jìn)行復(fù)現(xiàn)和利用。

注意： 本文僅供學(xué)習(xí)和研究，研究反對(duì)一切危害網(wǎng)絡(luò)安全的行為。

漏洞復(fù)現(xiàn)

我們?cè)谖恼碌脑u(píng)論處寫(xiě)入poc。

如下：

提交之后，在前臺(tái)文章處直接觸發(fā)。同時(shí)在后臺(tái)評(píng)論管理處也會(huì)直接觸發(fā)。

漏洞利用

我們可以通過(guò)js編輯模板文件來(lái)寫(xiě)入一句話木馬。這里通過(guò)js在網(wǎng)頁(yè)的末尾插入一個(gè)iframe元素來(lái)打開(kāi)模板編輯頁(yè)面

保存上述文件為js文件。在評(píng)論處構(gòu)造paylaod

提交評(píng)論后，是沒(méi)法復(fù)現(xiàn)的。只有管理員點(diǎn)擊了后臺(tái)的評(píng)論按鈕，才會(huì)得到復(fù)現(xiàn)！

然后這里訪問(wèn)模板文件或者讓文章404即可觸發(fā)/usr/themes/default/404.php或/index.php/archives/1/A

漏洞修復(fù)

1 1.2版本修復(fù)

var/Widget/Base/Comments.php 271行

修改為

這部分對(duì)評(píng)論中的網(wǎng)址輸出進(jìn)行了過(guò)濾使用safeUrl函數(shù)將url中的非法字符串進(jìn)行處理

修改var/Widget/Feedback.php 209，308 行

修改為

308行將

修改為

var/Widget/Options.php 85行

修改為

1 1.2.1-rc版本修復(fù)

修改/var/Typecho/Validate.php 第99行 修改為

修改為

修改完成后，在后臺(tái)也就無(wú)法觸發(fā)xss