文件上传漏洞系列总结（三），持续更新。。。。

一、编辑器漏洞

编辑器属于第三方软件，它的作用是方便网站管理员上传或编辑网站上的内容， 类似我们电脑上的Word文档。
常用编辑器：

FCKeditor
EWEbeditor
CKFinder
UEDITOR
DotNet TextBox
Cute Editor

常见的两种编辑器是FCK和eWEB

FCK编辑器漏洞利用

FCKeditor常见上传目录：

FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html

FCK编辑器漏洞 “.” 过滤成 “_” 绕过

在高版本fck中，直接上传或抓包修改文件名“a.asp;.jpg”，都会将前面的点变成下划线，也就是变成“a_asp;.jpg”，这样我们的文件名解析就无效果了。绕过方 法是突破建立文件夹，其实质是利用我们IIS6.0的目录解析

FCK编辑器还有一个突破文件上传漏洞

利用IIS6的目录解析漏洞，先建立一个“a.asp”文件夹，然后上传图片一句话木马“a_asp;.png”，IIS6目录解析漏洞会将“a.asp”目录下的文件都解 析成asp文件去执行。

EWeb编辑器漏洞

(1) eWeb编辑器需要登录后台，其默认数据库地址是： ewebeditor/db/ewebeditor.mdb
(2) eweb遍历漏洞 利用该漏洞遍历文件目录、查看整个网站结构及敏感信息 ewebeditor/admin_uploadfile.asp?id=14&dir=./

二、IIS高版本上传

IIS6.0毕竟是一个低版本，除了靶场和僵尸站很少能够遇到。真实的渗透中，会遇到很多的问题，比如WAF、高版本过滤、安全狗、被拦截绕过、不解析等等

畸形解析漏洞

畸形解析漏洞影响版本：IIS7、IIS7.5、Nginx<0.8.03 漏洞产生条件是开启Fast-CGI或php配置文件中cgi.fix_pathinfo

其漏洞不是IIS本身的问题，而是PHP配置不当造成的问题，根本原因是开启了 cgi.fix_pathinfo选项。由于该漏洞是php配置造成，并且默认开启该功能，所以它 影响了IIS7、IIS7.5、IIS8.5等多个版本，凡是IIS+PHP都有可能会有这个漏洞。

漏洞利用方法

当我们上传一张名为“1.jpg”的图片，这张图片文件里包含以下代码。
'); ?>

那么它会生成一个shell.php的文件，并写入我们的一句话，密码为cmd。

而一句话马的路径是 上传的图片文件名字+/shell.php 。如果图片没有被改名， 那么我们的一句话马 在“1.jpg/shell.php”中

案例分析

假设我们向IIS+PHP搭建的远程服务器上传“1.jpg”文件。
1.jpg 代码包含

xxx.xxx.xxx.xxx/1.jpg/.php，首先访问 “.php”文件，它是不存在的，所以跳到前面的“1.jpg”位置，而“1.jpg”是存在的并且包含php代码，就会把它当成php文件去执行，并获取php配置信息.

aspx漏洞

aspx有一个web.config配置文件，规定我们文件上传的后缀

如果当我们遇到可以上传配置文件的时候，则可以上传我们修改好的配置文件，
然后自定义一个后缀名如“.ad”，从而绕过WAF或检测，上传成功之后它会解析 成aspx并执行。