dedecms xss 0day通杀所有版本 可getshell

洞原因:DEDECMS由于编辑器过滤不严,将导致恶意脚本运行。可getshell取得权限。为什么说它是0Day呢?能getshell的都算0Day(鸡肋发挥起来也能变凤凰)目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。下面说说利用方法。条件有2个:开启注册开启投稿注册会员-发表文章投稿,
内容如下填写:

在你自己的网站0day5.com上新建xss.css内容如下:

在你自己的网站xxx.com上新建xss.js 内容如下:

当管理员审核这篇文章的时候,将自动在data目录生成一句话0day5.php。密码0day5。

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录