渗透测试学习 十六、 常见编辑器漏洞解析
大纲:
FCKeditor编辑器利用
EWEBeditor编辑器利用
其他类型编辑器利用
(用编辑器的好处:比网站自带的上传按钮的安全性高)
编辑器利用
查找编辑器目录(通常在网站根目录、用户目录、管理员目录下)
目录扫描:御剑等
目录遍历
蜘蛛爬行:AWVS、BP、菜刀
常见的目录:
editor、edit、upfile.asp、up.html、upimg.htm
图片上传的目录:admin、editor(根据分析网站的编辑器得出)
eweb的默认路径如下:
uploadfile/时间戳.jpg
fck默认的路径如下:
userfile/images/x.jpg
漏洞利用
百度相关编辑器的漏洞利用
site:站点 inurl:editor/
site:站点 inurl:fckeditor/
需要记得常见的编辑器的图片上传路径
FCKeditor
一般放在网站或管理员的路径下
FCK编辑器页面
FCKeditor/_samples/default.html
查看编辑器版本
FCKeditor/_whatsnew.html
查看文件上传路径
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFolderAndFiles&Type=Inage&CurrentFolder=/
查看上传目录
xml页面中第二行”url=/xxx”的部分就是默认的基本上传路径,FCKeditor被动限制策略所导致的过滤不严问题
影响版本:FCKeditor x.x<=FCKeditor v2.4.3
脆弱性描述
FCKeditor v2.4.3中file类别默认拒绝上传类型(黑名单)如下:
html,htm,php,php2,php3,php4,php5,phtml,pwml,inc,asp,aspx,ascx,jsp,cfm,cfc,pl,bat,exe,com,dll,vbs,js,reg,cgi,htaccess,asis,sh,shtml,shtm,phtm
配合解析漏洞FCKeditor 2.0<=2.2允许上传asa,cer,php2,php4,inc,pwml,pht后缀的文件;上传后保存的文件直接用的$sFilePath=$sServerDir.$sFileName,而没有使用$sExtension为后缀,直接导致在Windows下在上传文件后面加.来突破,二在Apache下,因为“Apache文件名解析缺陷漏洞”也可以利用。
漏洞版本
Windows有任意文件上传漏洞如:x.asp;.jpg
Apache+Linux环境下在上传文件的后面加上.来突破
bp抓包截断:
1.asp%00.jpg
选中%00然后ctrl+shift+u手动截断。
还有一种情况是:
在编辑器中创建目录时,会将文件夹名字中的点号变成下划线,这种情况时可以递归创建目录。用bp抓包,将上级级目录设置为xx.asp,要创建的目录是x.asp,发包。此时就会创建一个名字为xx.asp的文件夹里面包含一个x_asp文件夹,在这个文件夹下创建的任何文件都会被解析为asp文件。
当遇到高版本的,PHP的,例如v2.6.1(FCK 2.6.3以下的)的,会遇到以下情况:
上传一个正常的图片,在&CurrentFolder=%2F的后面进行00截断,若不是在上传的文件名处。
例如:&CurrentFolder=%2Fa.php%00.gif 不再用ctrl+shift+u进行手动截断,直接发送数据包,会自动截断。
EWEBeditor
先找eweb的后台,(eweb是存在独立的后台的)一般在ewebeditor/admin_style.asp或ewebeditor/admin/login.asp
1、进后台(弱口令、下载默认的数据库(ewebeditor/db/ewebeditor.mdb有时下载不了时可以ewebeditor/db/#或%23ewebeditor.mdb)、bp爆破、sqlmap注入)
2、修改上传类型(注意:在添加asp类型时因为程序会自动将asp变为空,所以可以写成aaspsp)
3、自己添加上传样式,添加上传按钮,上传
若果没有后台,利用目录遍历(id=&dir../../../)漏洞,下载网站数据库,登录后台getshell
利用exp,getshell(找版本相应的exp直接getshell)
构造上传(下载他的数据库,看看他的构造样式,(ewebEditor_style),根据它的样式进行构造)
CKFinder
(配合解析漏洞)目录解析漏洞+IIS6.0+Windows 2003,只有在这种情况下才可以
南方数据编辑器
通过upfile_other.asp漏洞文件getshell
打开userreg.asp注册会员,登录,使用双文件上传
在upfile_photo.asp文件中,只限制了对asp、asa、aspx类的文件上传,只要在“网站配置”的允许上传文件类型加上cer等被服务器解析的文件就好。
UEDITOR(百度的)
利用IIS6.0文件名解析漏洞,上传图片改名为x.php;.111112314.jpg直接getshell
命名方式:{time}{rang}.jpg
在前面加上a.asp;或者a.asp%00截断
DotNetTextBox编辑器
关键字:system_dntb/
当确定存在system_dntb/uploading.aspx并且能打开,这时是不能上传的,由于它是验证cookie来得出上传路径的,我们就可以使用cookie欺骗 工具。
cookie:UserType=0;IsEdition=0;Info=1;
uploadFolder=../system_dntb/Upload/;
路径可以修改,只是权限够,上传后改为1.asp;.jpg利用IIS解析漏洞
system_dntb/advanced.aspx
用firebug将disabled=”disabled”, value=”jpg,gif,png”修改为enabled=”enabled”, value=”jpg,gif,png,aspx
PHPWEB网站管理系统后台kedit编辑器
两种利用方式:
1、利用IIS文件名解析漏洞
xx.php;xx.jpg
2、%00截断
xx.php%00jpg
Cute Editor在线编辑器
本地包含漏洞
影响版本:CuteEditor For Net 6.4
可以随意查看网站文件内容
利用:
http://www.xx.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
总结:
编辑器大部分都是要配合IIS解析漏洞
步骤:
1、找编辑器
2、路径
3、版本
4、抓包改包绕过
2019-05-11 18:33:52
转载于:https://www.cnblogs.com/Yuuki-/p/10849583.html
渗透测试学习 十六、 常见编辑器漏洞解析相关推荐
- 渗透测试学习 十一、 其他注入漏洞汇总
大纲:提交方式注入 参数型注入 其他注入 提交方式注入 常见的提交方式: GET:大多数,正常的浏览,以URL的方式进行传参,不安全,明文传输,存在长度限制.xx.com/x.php?id=1 POS ...
- KALI LINUX渗透测试学习笔记
KALI LINUX渗透测试学习笔记 (苑房弘主讲) 第1章 课程介绍 任务1:Kali Linux渗透测试介绍.exe 安全问题的根源: 分层思想 只求功能实现 最大的威胁是人 渗透测试: 尝试挫败 ...
- 渗透测试入门27之渗透测试学习建议
最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议. 我的学习之路 转眼间,我从学习渗透测试到工作也快六 ...
- 十大常见web漏洞及防范
十大常见web漏洞 一.SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击.SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞.在设计程序,忽略了 ...
- web渗透测试学习路径图
Web渗透测试学习路线 一.基础知识 1.1 网络协议 <图解http> 1.2 编程语言 python 30 days for python go 1.3 Linux/Bash Over ...
- kali linux 渗透测试学习笔记——被动信息收集
kali linux 渗透测试学习笔记--linux 被动信息收集 被动信息收集 被动信息收集 公开渠道可获得的信息 已公开的信息,通过互联网等渠道去获得 与目标系统不产生直接交互 不对目标访问,扫描 ...
- 渗透测试学习笔记之案例二
0x00 前言 渗透是个持续的过程,不断地搜集信息,整理信息,以及利用信息,最终的目标就是拿到系统乃至整个网络的最高权限.在笔者看来,渗透测试与安全研究的最大不同就是前者擅长利用后者的研究成果并运用到 ...
- Kali Linux Web 渗透测试— 第十二课-websploit
Kali Linux Web 渗透测试- 第十二课-websploit 文/玄魂 目录 Kali Linux Web 渗透测试- 第十二课-websploit..................... ...
- PyTorch框架学习十六——正则化与Dropout
PyTorch框架学习十六--正则化与Dropout 一.泛化误差 二.L2正则化与权值衰减 三.正则化之Dropout 补充: 这次笔记主要关注防止模型过拟合的两种方法:正则化与Dropout. 一 ...
最新文章
- windows中Navicat连接本地的mysql的问题解决
- 案例驱动python编程入门-用Python进行行为驱动开发的入门教程
- [Android]反编译apk + eclipse中调试smali
- appium定位WebView页面元素
- 锐捷设备密码破解方法
- sqlserver2008未将对象引用设置到对象的实例_JVM | Java对象的创建、存储和访问详解...
- LeetCode 109. Convert Sorted List to Binary Search Tree
- vector内存分配和回收机制
- 替罪羊树模板(封装版)-----转自知乎
- 【元胞自动机】基于matlab激进策略元胞自动机三车道(开放辅路,软件园影响)交通流模型【含Matlab源码 1298期】
- win7启动黑屏安全模式下卸载驱动图解
- Jetson 系列——nvidia jetson nano设置声卡
- 抖音极速版自动运行脚本
- 氮化镓 服务器电源管理系统报价,氮化镓(GaN)技术推动电源管理不断革新
- 打印正六边形(C语言)
- 【laravel-admin】权限管理与实现原理
- 我喜欢的photo,images....
- 开灯问题_谁会一直开灯
- 香港云服务器比香港服务器更快吗?
- 字库芯片介绍与使用(附STM32程序~~~)
热门文章
- correl函数_函数中的“豪门贵族”【统计函数】
- java如何给数字每三位加一个逗号_将每三个数字加上逗号处理Java代码
- 你真的会php,你真的会PHP吗?
- git 安装_Windows系统Git安装教程(详解Git安装过程)
- 自编码器模型详解与实现(采用tensorflow2.x实现)
- python迭代器_Python迭代器
- linux下截图软件 shutter
- 哪些趋势正在推动人工智能创新?
- 在字符串中找出第一个只出现一次的字符,Python实现
- bash之read命令