fckeditor 漏洞php,fckeditor上传漏洞利用总结
FCKeditor
FCKeditor编辑器页/查看编辑器版本/查看文件上传路径
FCKeditor编辑器页
FCKeditor/_samples/default.html 查看编辑器版本
FCKeditor/_whatsnew.html
查看文件上传路径
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
XML页面中第二行 “url=/xxx”的部分就是默认基准上传路径
Note:[Hell1]截至2010年02月15日最新版本为FCKeditor v2.6.6
[Hell2]记得修改其中两处asp为FCKeditor实际使用的脚本语言
FCKeditor被动限制策略所导致的过滤不严问题
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor
v2.4.3中File类别默认拒绝上传类型:html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件
上传后 它保存的文件直接用的$sFilePath = $sServerDir .
$sFileName,而没有使用$sExtension为后缀
直接导致在win下在上传文件后面加个.来突破[未测试]
而在apache下,因为"Apache文件名解析缺陷漏洞"也可以利用之,详见"附录A"
另建议其他上传漏洞中定义TYPE变量时使用File类别来上传文件,根据FCKeditor的代码,其限制最为狭隘。
攻击利用: 允许其他任何后缀上传
利用2003路径解析漏洞上传网马
影响版本: 附录B
脆弱描述:
利用2003系统路径解析漏洞的原理,创建类似“bin.asp”如此一般的目录,再在此目录中上传文件即可被脚本解释器以相应脚本权限执行。
攻击利用:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
FCKeditor PHP上传任意文件漏洞
影响版本: FCKeditor 2.2 <= FCKeditor 2.4.2
脆弱描述:
FCKeditor在处理文件上传时存在输入验证错误,远程攻击可以利用此漏洞上传任意文件。
在通过editor/filemanager/upload/php/upload.php上传文件时攻击者可以通过为Type参数定义无效的值导致上传任意脚本。
成功攻击要求config.php配置文件中启用文件上传,而默认是禁用的。
攻击利用: (请修改action字段为指定网址): FCKeditor 《=2.4.2
for php.html Note:如想尝试v2.2版漏洞,则修改Type=任意值
即可,但注意,如果换回使用Media则必须大写首字母M,否则LINUX下,FCKeditor会对文件目录进行文件名校验,不会上传成功的。
TYPE自定义变量任意上传文件漏洞
影响版本: 较早版本
脆弱描述:
通过自定义Type变量的参数,可以创建或上传文件到指定的目录中去,且没有上传文件格式的限制。
攻击利用:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
打开这个地址就可以上传任何类型的文件了,Shell上传到的默认位置是:
http://www.heimian.com/UserFiles/all/1.asp
"Type=all"
这个变量是自定义的,在这里创建了all这个目录,而且新的目录没有上传文件格式的限制.
比如输入:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp
网马就可以传到网站的根目录下. Note:如找不到默认上传文件夹可检查此文件:
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor 新闻组件遍历目录漏洞
影响版本:aspx版FCKeditor,其余版本未测试
脆弱描述:如何获得webshell请参考上文“TYPE自定义变量任意上传文件漏洞”
攻击利用:修改CurrentFolder参数使用 ../../来进入不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=aspx.asp
根据返回的XML信息可以查看网站所有的目录。
/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor中webshell的其他上传方式
影响版本:非优化/精简版本的FCKeditor
脆弱描述:
如果存在以下文件,打开后即可上传文件。
攻击利用:
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor 文件上传“.”变“_”下划线的绕过方法
影响版本: FCKeditor => 2.4.x
脆弱描述:
我们上传的文件例如:shell.php.rar或shell.php;.jpg会变为shell_php;.jpg这是新版FCK的变化。
攻击利用: 提交1.php+空格 就可以绕过去所有的,
※不过空格只支持win系统 *nix是不支持的[1.php和1.php+空格是2个不同的文件]
Note:upload/2010/3/201003102334372778.jpg
这样的格式做了过滤。也就是IIS6解析漏洞。
上传第一次。被过滤为123_asp;123.jpg 从而无法运行。
但是第2次上传同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已经存在。
文件名被命名为123.asp;123(1).jpg …… 123.asp;123(2).jpg这样的编号方式。
所以。IIS6的漏洞继续执行了。
如果通过上面的步骤进行测试没有成功,可能有以下几方面的原因:
1.FCKeditor没有开启文件上传功能,这项功能在安装FCKeditor时默认是关闭的。如果想上传文件,FCKeditor会给出错误提示。
2.网站采用了精简版的FCKeditor,精简版的FCKeditor很多功能丢失,包括文件上传功能。
3.FCKeditor的这个漏洞已经被修复。eWebEditor
eWebEditor利用基础知识
默认后台地址:/ewebeditor/admin_login.asp
建议最好检测下admin_style.asp文件是否可以直接访问
默认数据库路径:
[PATH]/db/ewebeditor.mdb
[PATH]/db/db.mdb
某些CMS里是这个数据库 也可尝试
[PATH]/db/#ewebeditor.mdb -- 某些管理员自作聪明的小伎俩
使用默认密码:admin/admin888 或 admin/admin 进入后台,也可尝试 admin/123456
(有些管理员以及一些CMS,就是这么设置的)
点击“样式管理”--可以选择新增样式,或者修改一个非系统样式,将其中图片控件所允许的上传类型后面加上|asp、|asa、|aaspsp或|cer,只要是服务器允许执行的脚本类型即可,点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式,点击插入图片,上传WEBSHELL,在“代码”模式中查看上传文件的路径。
2、当数据库被管理员修改为asp、asa后缀的时候,可以插一句话木马服务端进入数据库,然后一句话木马客户端连接拿下webshell
3、上传后无法执行?目录没权限?帅锅你回去样式管理看你编辑过的那个样式,里面可以自定义上传路径的!!!
4、设置好了上传类型,依然上传不了麽?估计是文件代码被改了,可以尝试设定“远程类型”依照6.0版本拿SHELL的方法来做(详情见下文↓),能够设定自动保存远程文件的类型。
5、不能添加工具栏,但设定好了某样式中的文件类型,怎么办?↓这么办!
(请修改action字段) Action.html eWebEditor踩脚印式入侵
脆弱描述:
当我们下载数据库后查询不到密码MD5的明文时,可以去看看webeditor_style(14)这个样式表,看看是否有前辈入侵过
或许已经赋予了某控件上传脚本的能力,构造地址来上传我们自己的shell
攻击利用:
比如 ID=46 s-name =standard1 构造 代码:
ewebeditor.asp?id=content&style=standard
ID和和样式名改过后
ewebeditor.asp?id=46&style=standard1
eWebEditor遍历目录漏洞
脆弱描述: ewebeditor/admin_uploadfile.asp
admin/upload.asp 过滤不严,造成遍历目录漏洞
攻击利用:
第一种:ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=.. 再加
&dir=../..
&dir=http://www.heimian.com/../.. 看到整个网站文件了
第二种: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir
=./..
eWebEditor 5.2 列目录漏洞
脆弱描述: ewebeditor/asp/browse.asp
过滤不严,造成遍历目录漏洞
攻击利用:
http://www.heimian.com/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
利用WebEditor session欺骗漏洞,进入后台
脆弱描述: 漏洞文件:Admin_Private.asp
只判断了session,没有判断cookies和路径的验证问题。
攻击利用: 新建一个test.asp内容如下:
分享:
喜欢
0
赠金笔
加载中,请稍候......
评论加载中,请稍候...
发评论
登录名: 密码: 找回密码 注册记住登录状态
昵 称:
评论并转载此博文
发评论
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。
fckeditor 漏洞php,fckeditor上传漏洞利用总结相关推荐
- web漏洞之文件上传漏洞
结合靶场对新手文件上传漏洞的测试时,遇到的一些问题的整理 文章目录 前言 一.文件上传漏洞是什么 二.工具介绍 1.中国蚁剑 2.读入数据 总结 前言 新手在进行文件上传时会遇到各种各样的问题,大佬别 ...
- 文件上传漏洞、WebShell、防御及绕过利用、Web容器解析漏洞、编辑器上传漏洞
文章目录 文件上传漏洞 漏洞概述 漏洞成因 漏洞危害 WebShell 大马 小马 GetShell 漏洞利用的条件 PUT方法上传文件 漏洞的防御.绕过和利用 黑白名单策略 安装upload-lab ...
- java 文件上传漏洞_文件上传漏洞(绕过姿势)
文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接.但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识.俗话说,知己知彼方能百战不殆,因此 ...
- java 文件上传漏洞_文件上传漏洞(File Upload)
简介 File Upload,即文件上传漏洞,通常是由于对用户上传文件的类型.内容没有进行严格的过滤.检查,使得攻击者可以通过上传木马,病毒,恶意脚本等获取服务器的webshell权限,并进而攻击控制 ...
- 网站漏洞修补 Kindeditor上传漏洞
2019独角兽企业重金招聘Python工程师标准>>> 很多建站公司都在使用Kindeditor开源的图片上传系统,该上传系统是可视化的,采用的开发语言支持asp.aspx.php. ...
- 泛微OA V8 SQL注入漏洞和文件上传漏洞
fofa语句 app="泛微-协同办公OA" SQL注入 在泛微OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中 ...
- 动易html在线编辑器 漏洞,动易上传漏洞1小时狂拿50个WEBSHELL
动易上传漏洞1小时狂拿50个WEBSHELL 风云 QQ:325013287 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ...
- nginx 上传文件漏洞_文件上传漏洞,解析漏洞总结
文件上传漏洞.解析漏洞总结 1.文件上传漏洞是什么 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力.常见场景是web服务器允许用户上传图片或者普通文本文件 ...
- nginx 上传文件漏洞_文件上传漏洞小结
1 概念 上传文件时,服务器端脚本语言,未对上传的文件进行严格的验证和过滤,就有可能上传恶意的脚本文件,从而控制整个网站,甚至是服务器. 2 危害 • 网站被控制,对文件增删改查,执行命令,链接数据库 ...
- nginx 上传文件漏洞_文件上传及解析漏洞
注:本文仅供学习参考 文件上传定义: 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行.这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等. 这种攻击方式是最为直接和有效的, ...
最新文章
- 对接kafka_flume对接kafka多路径同时收集日志,配置怎么写?
- SGML、HTML和XML之间的关系
- php 异常值检测,PHP中的错误处理、异常处理机制分析
- 三维空间刚体运动4-4:四元数多点连续解析解插值方法:Spicv
- MVC下c#对接微信公众平台开发者模式
- 原生js 封装ajax
- 注意!思科Aironet 1830和1850系列存在硬编码密码,请尽快修复!
- Vuforia3D模型上传
- 场景法设计测试用例ATM机取款问题
- 电脑常用快捷键大全(收藏)
- 网络编程--探讨一些边界条件
- WiFi覆盖下的生活 享受便利的同时 别忘记了安全
- 批量合并多个PDF文件
- web开发中前端页面是如何跟后端服务器数据交互的
- Flutter和RN对比分析
- updating java index_myeclipse右下角的updating indexes 是什么意思?
- 美女图片站眼球创业?2023版H5自适应美女写真图片站全站整站源码
- jpa ONetoMany使用方法
- undefined symbol: _ZN6caffe26detail36_typeMetaDataInstance_preallocated_7E
- Jelly Bean在硬件上的带起
热门文章
- JavaScript判断字符串中包含另一个字符串(QML 中使用)
- 9篇小白都能懂系列博客学完MySQL基础
- android java和c混合编程_C/C++在Java、Android和Objective-C三大平台下实现混合编程
- C/Cpp / STL / 各个实现版本的说明
- 二叉树 跳表_漫谈 LevelDB 数据结构(一):跳表(Skip List)
- mysql 5.7 innodb 预热_mysql5.7 InnoDB数据表空间文件平滑迁移
- 低电压瞬态抑制二极管,有哪些常用的型号?
- 只等你来!OpenAtom XuperChain 开发者夏季论坛来啦
- java计算二叉树的节点最小值_java计算二叉树的高度以及叶节点个数
- android硬编码封装mp4,【Android 音视频开发打怪升级:音视频硬解码篇】四、音视频解封和封装:生成一个MP4...