typecho模板-Joe漏洞审计and漏洞修复

Author： Juneha
发布时间：December 6, 2022
1686 views
No comments
1721 words
Categories：备忘录

0x01反射xss

1.1

漏洞文件

Joe/library/player.php

在42行无过滤输出到了script标签内

测试

%27%2balert(1)%2b%27

修复的话将代码修改如下

<?php echo addslashes(strip_tags($_GET['url'])); ?>

1.2

漏洞源码路径

Joe/live.php

是独立页面所以需要新建个独立页面

同样无过滤输出到了页面上

测试,title变量正常payload即可

profileRoom=\"OnMoUsEoVeR=prompt(1)//

修复的话为他们加上实体化标签即可

htmlspecialchars($_GET['title']);

另外一个是数字直接类型转换即可

intval($_GET['profileRoom']);

0x02信息泄露

文件路径

Joe/library/files.php

一个单文件的文件管理未设置密码可直接查看上传的所有文件

usr/themes/Joe/library/files.php

修复方法就是编辑这个文件然后加上账号密码

0x03 逻辑问题

点赞处可以重复发包变成负数

问题代码在119行没判断是否为负数

Joe\core\route.php

在原119前加上

if(intval($row['agree'])-1>=0)

修改后

0x04 其他

有空在深入看看

Last modification：December 6, 2022

© Allow specification reprint

本文作者：Juneha
本文链接：https://blog.mo60.cn/index.php/archives/722.html
版权声明：本博客所有文章除特别声明外，均默认采用 CC BY-NC-SA 4.0 许可协议。
法律说明：
文章声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任，本人坚决反对利用文章内容进行恶意攻击行为，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全，本文内容未隐讳任何个人、群体、公司。非文学作品，请勿过度理解，根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途。

如果觉得我的文章对你有用，请随意赞赏,可备注留下ID方便感谢

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款，评论的邮箱不会被公开仅用于接收回复。

Comment *

Private comment

Name *

🎲

Email *

Site

typecho模板-Joe漏洞审计and漏洞修复

Juneha • 2022 年 12 月 06 日

<h2>0x01反射xss</h2><h3>1.1</h3><p>漏洞文件</p><pre><code>Joe/library/player.php
</code></pre><p>在42行无过滤输出到了script标签内<br><img src="https://blog.mo60.cn/usr/uploads/2022/12/3553475382.png" alt="45105-xf96rut02s.png" title="45105-xf96rut02s.png"style=""></p><p>测试</p><pre><code>%27%2balert(1)%2b%27
</code></pre><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/1533129735.png" alt="26928-rvmt557u7p.png" title="26928-rvmt557u7p.png"style=""></p><p>修复的话将代码修改如下</p><pre><code>&lt;?php echo addslashes(strip_tags($_GET['url'])); ?&gt;
</code></pre><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/152218900.png" alt="03997-cy5b23v354.png" title="03997-cy5b23v354.png"style=""></p><h3>1.2</h3><p>漏洞源码路径</p><pre><code>Joe/live.php
</code></pre><p>是独立页面所以需要新建个独立页面</p><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/3629700112.png" alt="88064-scn35oaqra.png" title="88064-scn35oaqra.png"style=""></p><p>同样无过滤输出到了页面上</p><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/961139812.png" alt="22872-rnufuwm3ed.png" title="22872-rnufuwm3ed.png"style=""></p><p>测试,title变量正常payload即可</p><pre><code>profileRoom=\&quot;OnMoUsEoVeR=prompt(1)//
</code></pre><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/958866724.png" alt="12185-tdzqbf6qxpr.png" title="12185-tdzqbf6qxpr.png"style=""></p><p>修复的话为他们加上实体化标签即可</p><pre><code>htmlspecialchars($_GET['title']);
</code></pre><p>另外一个是数字直接类型转换即可</p><pre><code>intval($_GET['profileRoom']);
</code></pre><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/2346750259.png" alt="27237-7uf7p1na86x.png" title="27237-7uf7p1na86x.png"style=""></p><h2>0x02信息泄露</h2><p>文件路径</p><pre><code>Joe/library/files.php
</code></pre><p>一个单文件的文件管理未设置密码可直接查看上传的所有文件</p><pre><code>usr/themes/Joe/library/files.php
</code></pre><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/2341604160.png" alt="72743-wvbhvym40ef.png" title="72743-wvbhvym40ef.png"style=""></p><p>修复方法就是编辑这个文件然后加上账号密码</p><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/2960873584.png" alt="18719-ecjzer4p9tn.png" title="18719-ecjzer4p9tn.png"style=""></p><h2>0x03 逻辑问题</h2><p>点赞处可以重复发包变成负数</p><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/4241467159.png" alt="45059-ldb41ihfst.png" title="45059-ldb41ihfst.png"style=""></p><p>问题代码在119行没判断是否为负数</p><pre><code>Joe\core\route.php
</code></pre><p><img src="https://blog.mo60.cn/usr/uploads/2022/12/1072579511.png" alt="78330-1ogjrqb48kr.png" title="78330-1ogjrqb48kr.png"style=""></p><p>在原119前加上</p><pre><code>if(intval($row['agree'])-1&gt;=0)
</code></pre><p>修改后<br><img src="https://blog.mo60.cn/usr/uploads/2022/12/203474409.png" alt="10273-6abvjpd9i14.png" title="10273-6abvjpd9i14.png"style=""></p><h2>0x04 其他</h2><p>有空在深入看看</p>