漏洞概要 关注数(16) 关注此漏洞
缺陷编号: WooYun-2014-65332
漏洞标题: DedeCMS-V5.7-UTF8-SP1 变反射为持久xss 拿shell 
相关厂商: Dedecms
漏洞作者: menmen519
提交时间: 2014-06-18 09:41
公开时间: 2014-09-13 09:42
漏洞类型: XSS跨站脚本攻击
危害等级: 高
自评Rank: 15
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org
Tags标签: 反射型xss 持久型xss 第三方不可信程序 xss黑盒测试技巧
漏洞详情
披露状态:
2014-06-18: 细节已通知厂商并且等待厂商处理中
2014-06-23: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-08-17: 细节向核心白帽子及相关领域专家公开
2014-08-27: 细节向普通白帽子公开
2014-09-06: 细节向实习白帽子公开
2014-09-13: 细节向公众公开
简要描述:
DedeCMS-V5.7-UTF8-SP1 变反射为持久xss 拿shell 上次提交了一个个人圈子的反射型xss,但是乌云没有理会我,一直到现在还没有审核,这次我重新在找一个,那么就利用这个,把反射型变成一个持久类型,然后拿后台shell
详细说明:
首先我们登陆用户,然后创建圈子,如图所示:
发送给管理员的短消息如下:
然后我们登陆管理员,在管理员的短消息里面查看:
到此为止所有的操作已经执行完毕,那么我们来看看,此处的csrf究竟发生在那一块,看到管理后台有一个执行sql语句的地方,如图:
然后我们找到一个可写目录:
D:\wamp\www\DedeCMS-V5.7-UTF8-SP1\uploads\uploads\userup,当然了如果是linux,大家也能够对应起来
接下来 我们肯定就是利用mysql的into outfile 语句进行写shell,那么有人就要问我了,这个语句需要高权限,不要紧在这之前我也做过一个后台xss+csrf拿shell的,只不过这里我只是举一个例子
最终我们证明我们的过程,如图所示:
致辞已经全部完成,其实我一直不明白wuyun为什么不接受反射型xss,这种和csrf利用起来还是非常危险的,ok!!!!!
漏洞证明:
修复方案:
版权声明:转载请注明来源 menmen519@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-09-13 09:42
厂商回复:
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值