ckfinder php 漏洞,编辑器漏洞
一、常见的编辑器:
常见的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。
二、Ewebeditor编辑器漏洞:
Ewebeditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框替换为可视化的富文本输入框,使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具!
Ewebeditor利用核心:
默认后台:www.xxxx.com/ewebeditor/admin_login.asp
默认数据库:ewebeditor/db/ewebeditor.mdb
默认账号密码:admin admin/admin888
利用过程:
1、首先访问默认管理页看是否存在;
注:默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp(其他语言改后戳,这里以asp为例) 。
2、尝试默认管理账号密码:(admin\admin)
默认管理页存在!我们就用帐号密码登陆!默认帐号密码为: admin admin888 !常用的密码还有admin admin999 admin1 admin000 之类的。
成功登陆后台
3、默认数据库地址:
如果后台管理密码不是默认的。我们访问的就不是默认数据库!尝试下载数据库得到管理员密码!管理员的帐号密码,都在eWebEditor_System表段里,sys_UserName Sys_UserPass 都是md5加密的。得到了加密密码。可以去MD5解密等网站进行查询!
注:默认数据库路径为:ewebeditor/db/ewebeditor.mdb 常用数据库路径为:
ewebeditor/db/ewebeditor.asa
ewebeditor/db/ewebeditor.asp
ewebeditor/db/#ewebeditor.asa
ewebeditor/db/#ewebeditor.mdb
ewebeditor/db/ewebeditor.mdb
ewebeditor/db/!@#ewebeditor.asp
ewebeditor/db/ewebeditor1033.mdb 等等。
尝试访问默认路径下载数据库
md5加密后的账号密码存在
注:很多管理员常改.asp后缀,一般访问.asp .asa 后缀的都是乱码!可以用下载工具(迅雷)下载下来,然后更改后缀为.mdb来查看内容!
4、漏洞基本利用步骤,以asp为例!
①、登陆后台以后。
选择样式管理,默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式,然后在图片上传添加可上传后缀。.asa .cer .cdx 等!.asp 过滤过了。但是我们可以用.aaspsp后缀来添加,这样上传文件正好被ewebeditor 吃掉asp后缀,剩下.asp 。同样,如果遇到一个管理员有安全意识的,从代码里,把.asp .asa .cer .cdx 都完全禁止了,我们也可以用.asasaa 后缀来突破。添加完了后缀,可以在样式管理,点击预览,然后上传! asa|cer|asp|aaspsp Asa cer 它可以在iis6.0平台解析为asp执行 Aaspsp:绕过过滤 过滤asp aaspsp=》asp 注意:低版本ewebeditor不支持ie7.0以下版本访问(ietest软件模拟ie6.0上传) 以下以2.1.6这个版本为例来演示: 点击样式管理,然后新增样式;
点击提交
样式增加成功
然后在工具栏里新增工具
然后点击保存设置。然后再回去点击预览。
浏览器版本太高功能不能使用,换为低版本浏览器
控件效果就出来了。然后直接上传木马(我这里上传的为cer后缀的大马):
点击确定,上传成功,之后,查看代码,就能看到完整的地址:
上传后文件的路径及文件名
用菜刀获浏览器一连就能就OK了。。。
密码Skull.
成功连接
5、通过目录遍历漏洞
&dir=../
发现没有起作用,那就是2.1.6这个版本不存在这个漏洞。换成2.8.0。2.8.0存在这个漏洞。
2.1.6版本
搭建换成2.8.0版本
可以遍历目录
6、寻找前人痕迹再次入侵
有时候用户名与密码登不进去,但是数据库可以下载,这时候就可以看下是否有前人入侵过,如果有人入侵过的话,就可以利用下面的方法进入突破。
如何判断有前人入侵过了??下载好数据库之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。
重新下载数据库文件可以看到添加的样式tessst
使用下面的语句进入突破:
ewebeditor.asp?ID=xx&style=yy;其中的id=xx就是被修改过的那条记录的id,而yy就是S_name字段的名字。
http://192.168.0.105/ewebeditor.asp?ID=36&style=tessst
利用此样式上传木马文件,然后攻击者进行连接
该链接指向前人创建的样式,通过该样式上传自己的木马然后再连接即可!!
7、文件上传漏洞
注入2.1.6ewebeditor编辑器。如下保存为html文件修改action,直接上传cer马。
url为文件上传路径,根据个人情况更改
保存后打开为此界面,直接上传cer马,查看网页源代码获取文件上传后的文件名,然后是用菜刀等工具链接
三、Fckeditor编辑器
可以去这下载编辑器:http://download.csdn.net/detail/u011781521/9767326,自己安装环境进行测试;
(一)、查看fckeditor版本信息:
获取版本信息后可以去网上查找对应版本的漏洞进行利用:
部分公开漏洞
(二)、FCKeditor编辑器页面
默认页面:_samples/default.html
(三)、常用上传地址:
不同版本常用上传地址:
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
由于这里用的是2.5的版本所以下面这条语句能用
http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
文件上传页面,默认情况下路径不会被改变
注意:如果在输入以上地址测试的过程中弹出以下的提示:
(四)文件上传
那就是没有开启文件上传功能,要把\editor\filemanager\connectors\asp\config.asp文件中的“DimConfigIsEnabled”
ConfigIsEnabled= False,设置成功true。就行了,然后上传2.asp;.jpg文件试试
上传文件名为2.asp;.jpg,但是上传后被更改为2_asp;(1).jpg,把点改为了下划线,审查元素看下图片的路径。
http://192.168.0.105/userfiles/image/2_asp;(1).jpg访问这个路径看下。
图片没有被解析
这就是fckeditor过滤"."为"_"的一个机制,想要突破的话有以下两种方式:
①:二次上传
第一次上传:qq.asp;.jpg ==》qq_asp;.jpg
第二次上传:qq.asp;.jpg ==》qq_asp;.jpg (不满足命名要求)
可能出现第二次命名为 qq.asp;.(1).jpg
②:新建上传:
手动创建一个文件夹fenduo.asp
同样的“.”被替换为“_”
发现他还是过滤了!!那我们只有突破建立文件夹了。
执行以下地址就能成功创建文件夹
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=xx.asp
number=0说明文件夹创建成功
文件夹创建成功
这又是为什么了????手动不能创建,而通过以上地址就能成功创建了,让我们来对比下,手动创建和通过以上地址创建的一个区别。
漏洞地址:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp
手工新建:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp
漏洞产生原因:
CurrentFolder:当前文件夹;未进行过滤(这个文件夹下的没有过滤),简言之,系统会认为这时已经存在的文件夹而不进行过滤,所以此处存在漏洞,不对CurrentFolder函数进行过滤。
NewFolderName:新建文件名;进行了过滤,这就是为什么通过上面地址能创建,而手动却不能创建的一个原因,然后我们再上传6.asp;.jpg到fendo.asp文件下看是否成功解析。
上传成功,但文件名依旧为6_asp;.jpg
右键审查元素得到路径
构造url连接,图片被当做asp文件解析!!
.asp文件夹下的文件都会被当做asp文件解析
四、CKFinder
任意文件上传漏洞
原理:
其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件,CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传1_php;1.jpg等畸形文件名,最终导致文件上传漏洞。
利用过程:
修改文件名为:1_php;1.jpg
利用iis6.0目录解析漏洞拿shell
创建目录/x.asp/
在目录下上传图片马即可拿shell
五、南方数据编辑器southidceditor
利用过程:
首先登陆后台
利用编辑器上传
访问admin/southidceditor/admin_style.asp
修改编辑器样式,增加asa(不要asp),然后直接后台编辑新闻上传
六、UEDITOR富文本编辑器
利用过程:
利用ii6.0文件名解析漏洞
上传图片改名为
x.php;20221.jpg获取shell
DotNetTextBox编辑器漏洞
关键字:system_dntb/
确定有system_dntb/uploadimg.aspx并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具
cookie:UserType=0;IsEdition=0;Info=1;
uploadFolder=../system_dntb/Upload/;
路径可以修改,只要权限够,上传后改名为1.asp;.jpg利用iis解析漏洞
七、PHPWEB网站管理系统后台Kedit编辑器
两种利用方式:
第一种:
利用iis6.0文件名解析漏洞上传文件名为xx.php;xx.jpg格式文件;
第二种方式:
%00截断(00截断解析)
xx.php%00jpg
八、Cute Editor 在线编辑器本地包含漏洞
影响版本:Cute Editor For Net 6.4
脆弱描述:可以随意查看网站文件内容,危害较大
攻击利用:http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config
ckfinder php 漏洞,编辑器漏洞相关推荐
- 0919文件上传-解析漏洞编辑器安全WAF绕过及安全修复
其他漏洞 编辑器漏洞 网站在实现上传文章等功能时会套用第三方编辑器的功能 大部分编辑器漏洞都是文件上传漏洞 判断: 1.看界面 2.目录扫描 fkceditor.ewebeditor.ckeditor ...
- ueditor 编辑器增加css样式_Web入侵之利用编辑器漏洞入侵
Web入侵之利用编辑器漏洞入侵 Ewebeditor漏洞详细可参考:https://www.0dayhack.com/post-426.html 1.常见的编辑器 常见的有Ewebeditor,fck ...
- fckeditor漏洞_三十,文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御
一.编辑器漏洞 1.编辑器 编辑器属于第三方软件,它的作用是方便网站管理员上传或编辑网站上的内容,类似我们电脑上的Word文档. 编辑器通常分为两种情况: (1) 不需要后台验证,可以直接在前台访问且 ...
- Web入侵之利用编辑器漏洞入侵
Web入侵之利用编辑器漏洞入侵 Ewebeditor漏洞详细可参考:https://www.0dayhack.com/post-426.html 1.常见的编辑器 常见的有Ewebeditor,fck ...
- 文件上传漏洞、编辑器漏洞和条件竞争漏洞介绍(笔记)
(一)文件上传漏洞介绍: 文件上传是Web应用的必备功能之一,比如,上传头像.上传简历.上传文档等. 那么上传的过程中如果对用户上传的文件未校验或者校验不严格.过滤不严格,那么恶意用户就可以恶意修改上 ...
- WEB编辑器漏洞手册.zip
WEB编辑器漏洞手册.zip 点击进入高速下载通道 转载于:https://www.cnblogs.com/gwrjy/p/7157680.html
- [网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了文件上传漏洞和IIS6.0解析漏洞,包括PHP345文件绕过上传.Win ...
- fckeditor漏洞_一、Ewebeidtor编辑器漏洞
一.Ewebeidtor编辑器漏洞 eWebEditor是基于浏览器的.所见即所得的在线HTML编辑器.它能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能. 1.Ewebeid ...
- ue编辑器漏洞_7. 编辑器漏洞整理
1.常见的编辑器 常见的有Ewebeditor,fckeditor,ckeditor,kindeditor等等.这里有份编辑器漏洞手册: 2.Ewebeditor编辑器 Ewebeditor是基于浏览 ...
- html编辑器渗透,渗透测试之编辑器漏洞与旁注、跨目录、跨库、CDN绕过
常用的编辑器 常见的编辑器有Ewebeditor fckeditor CKeditor kindeditor 1.Ewebeditor 测试环境用的是eWebEditor_v216_Free版本 ...
最新文章
- React 深入系列3:Props 和 State
- centos删除文件不释放_centos 磁盘空间不释放 各位有什么解决方案吗
- VTK:vtkSelectPolyData选择多数据用法实战
- Linux查看CPU型号及内存频率及其它信息与清理内存的命令
- 微型计算机最早出现在第三代计算机中,微型计算机最早出现在第三代计算机中。...
- WebService C#开发/调用
- spring处理循环依赖时序图_Maven依赖管理系统
- c语言正则表达式_CS143:编译原理|PA2:正则表达式和词法分析
- Net设计模式实例之观察者模式(Observer Pattern)
- MySQL 8个character_set变量的基本作用
- cmd命令安装python第三方库_Python如何安装第三方库
- 24V600mA限流电路的Pspice仿真实例
- “九章”量子计算机与智能优化算法
- 【备读学术论文总览】研究方向论文清单
- 何园–中国晚清第一园
- 乐理入门: 二、时值、节奏、节拍
- 洛谷P1007独木桥
- 对数 java_Java对数函数及Java对数运算
- 6009. 【THUWC2019模拟2019.1.18】Counting
- FileProvider路径记录
热门文章
- 小鹏汽车面试经验分享
- 计算机创新创业选题参考,计算机及相关专创新创业教育指导书.doc
- 基于万维易源提供的API接口实现快递单号查询物流信息
- Excel拼接数据库语句
- 基于Echarts+HTML5可视化数据大屏展示—智慧社区内网对比平台
- 最速下降法python_python实现最速下降法
- linux命令行下载gcc,linux安装GCC详解
- vac虚拟声卡我linux,虚拟声卡驱动应用及其原理简要说明
- Origin 使用笔记
- 用友/U8+V16.0修改单据时,其他入库单其他出库单无保质期信息且置灰无法输入/修改