DEDECMS XSS GETSHeLL 通杀所有版本

利用条件:开启注册&&开启投稿
方法 :注册会员 -> 发表文章:内容输入

xss.css内容:

logo.jpg内容:

管理员后台访问或者审核或者保持登陆状态进行前台访问,会在data目录下生成一句话木马haris.php,密码cmd
记住这个js脚本吧,get post cookies都可以用这种模式。
这个ajax写得很完善.(新浪蠕虫依赖jquery直接使用ajax).