大綱:
FCKeditor編輯器利用
EWEBeditor編輯器利用
其他類型編輯器利用
(用編輯器的好處:比網站自帶的上傳按鈕的安全性高)
編輯器利用
查找編輯器目錄(通常在網站根目錄、用戶目錄、管理員目錄下)
目錄掃描:御劍等
目錄遍歷
蜘蛛爬行:AWVS、BP、菜刀
常見的目錄:
editor、edit、upfile.asp、up.html、upimg.htm
圖片上傳的目錄:admin、editor(根據分析網站的編輯器得出)
eweb的默認路徑如下:
uploadfile/時間戳.jpg
fck默認的路徑如下:
userfile/images/x.jpg
漏洞利用
百度相關編輯器的漏洞利用
site:站點 inurl:editor/
site:站點 inurl:fckeditor/
需要記得常見的編輯器的圖片上傳路徑
FCKeditor
一般放在網站或管理員的路徑下
FCK編輯器頁面
FCKeditor/_samples/default.html
查看編輯器版本
FCKeditor/_whatsnew.html
查看文件上傳路徑
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFolderAndFiles&Type=Inage&CurrentFolder=/
查看上傳目錄
xml頁面中第二行”url=/xxx”的部分就是默認的基本上傳路徑,FCKeditor被動限制策略所導致的過濾不嚴問題
影響版本:FCKeditor x.x<=FCKeditor v2.4.3
脆弱性描述
FCKeditor v2.4.3中file類別默認拒絕上傳類型(黑名單)如下:
html,htm,php,php2,php3,php4,php5,phtml,pwml,inc,asp,aspx,ascx,jsp,cfm,cfc,pl,bat,exe,com,dll,vbs,js,reg,cgi,htaccess,asis,sh,shtml,shtm,phtm
配合解析漏洞FCKeditor 2.0<=2.2允許上傳asa,cer,php2,php4,inc,pwml,pht后綴的文件;上傳后保存的文件直接用的$sFilePath=$sServerDir.$sFileName,而沒有使用$sExtension為后綴,直接導致在Windows下在上傳文件后面加.來突破,二在Apache下,因為“Apache文件名解析缺陷漏洞”也可以利用。
漏洞版本
Windows有任意文件上傳漏洞如:x.asp;.jpg
Apache+Linux環境下在上傳文件的后面加上.來突破
bp抓包截斷:
1.asp%00.jpg
選中%00然后ctrl+shift+u手動截斷。
還有一種情況是:
在編輯器中創建目錄時,會將文件夾名字中的點號變成下划線,這種情況時可以遞歸創建目錄。用bp抓包,將上級級目錄設置為xx.asp,要創建的目錄是x.asp,發包。此時就會創建一個名字為xx.asp的文件夾里面包含一個x_asp文件夾,在這個文件夾下創建的任何文件都會被解析為asp文件。
當遇到高版本的,PHP的,例如v2.6.1(FCK 2.6.3以下的)的,會遇到以下情況:
上傳一個正常的圖片,在&CurrentFolder=%2F的后面進行00截斷,若不是在上傳的文件名處。
例如:&CurrentFolder=%2Fa.php%00.gif 不再用ctrl+shift+u進行手動截斷,直接發送數據包,會自動截斷。
EWEBeditor
先找eweb的后台,(eweb是存在獨立的后台的)一般在ewebeditor/admin_style.asp或ewebeditor/admin/login.asp
1、進后台(弱口令、下載默認的數據庫(ewebeditor/db/ewebeditor.mdb有時下載不了時可以ewebeditor/db/#或%23ewebeditor.mdb)、bp爆破、sqlmap注入)
2、修改上傳類型(注意:在添加asp類型時因為程序會自動將asp變為空,所以可以寫成aaspsp)
3、自己添加上傳樣式,添加上傳按鈕,上傳
若果沒有后台,利用目錄遍歷(id=&dir../../../)漏洞,下載網站數據庫,登錄后台getshell
利用exp,getshell(找版本相應的exp直接getshell)
構造上傳(下載他的數據庫,看看他的構造樣式,(ewebEditor_style),根據它的樣式進行構造)
CKFinder
(配合解析漏洞)目錄解析漏洞+IIS6.0+Windows 2003,只有在這種情況下才可以
南方數據編輯器
通過upfile_other.asp漏洞文件getshell
打開userreg.asp注冊會員,登錄,使用雙文件上傳
在upfile_photo.asp文件中,只限制了對asp、asa、aspx類的文件上傳,只要在“網站配置”的允許上傳文件類型加上cer等被服務器解析的文件就好。
UEDITOR(百度的)
利用IIS6.0文件名解析漏洞,上傳圖片改名為x.php;.111112314.jpg直接getshell
命名方式:{time}{rang}.jpg
在前面加上a.asp;或者a.asp%00截斷
DotNetTextBox編輯器
關鍵字:system_dntb/
當確定存在system_dntb/uploading.aspx並且能打開,這時是不能上傳的,由於它是驗證cookie來得出上傳路徑的,我們就可以使用cookie欺騙 工具。
cookie:UserType=0;IsEdition=0;Info=1;
uploadFolder=../system_dntb/Upload/;
路徑可以修改,只是權限夠,上傳后改為1.asp;.jpg利用IIS解析漏洞
system_dntb/advanced.aspx
用firebug將disabled=”disabled”, value=”jpg,gif,png”修改為enabled=”enabled”, value=”jpg,gif,png,aspx
PHPWEB網站管理系統后台kedit編輯器
兩種利用方式:
1、利用IIS文件名解析漏洞
xx.php;xx.jpg
2、%00截斷
xx.php%00jpg
Cute Editor在線編輯器
本地包含漏洞
影響版本:CuteEditor For Net 6.4
可以隨意查看網站文件內容
利用:
http://www.xx.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
總結:
編輯器大部分都是要配合IIS解析漏洞
步驟:
1、找編輯器
2、路徑
3、版本
4、抓包改包繞過
2019-05-11 18:33:52