2016年3月90号渗透学习总结

  今天满满的一天课，我就趁着晚上的一点时间，新学了一个漏洞。

  ewebeditor编辑器漏洞：

  网站的编辑器有很多种：ewebeditor,fckeditor,ckeditor,kindeditor...其中应用最广泛的就是前两种。

编辑器是网站的一部分，可以处理文档、图像、音频、视频等，但不可以上传脚本格式，登陆后台后可以添加上传类型。编辑器漏洞利用的核心就是要找到目标网站编辑器的地址，可以通过扫描，搜索等方法。

  一般情况下，ewebeditor编辑器的默认后台： /ewebeditor/admin_login.asp /ewebeditor/admin/login.asp
                                默认数据库：/ewebeditor/db/ewebeditor.mdb（输入后有的网站可以直接下载数据库里面有用户名和密码）
                                默认账号密码：admin admin888

ewebeditor编辑器漏洞的利用流程为：先去找编辑器的地址和默认后台，找到后台后尝试用默认账号密码登录，如果账号密码不正确，就去找数据库的地址下载数据库，里面就有帐号密码，密码加密如果解不住来，就没有办法了。如果密码解出登陆后台后，ewebeditor编辑器就有一个目录遍历漏洞，就是在url地址后加&dir..\..就可以看到网站的所有目录，这就可以为我们之后的入侵增加成功的几率。进入后台后，我们还可以添加上传类型asp等格式，有的网站会存在过滤我们可以用aaspsp来绕过。添加上之后就可以上传一句话木马，拿到webshell进行连接。

   fackeditor编辑器漏洞：

fackeditor的漏洞利用过程为：找编辑器地址，判断网站脚本类型，尝试组合漏洞地址，访问漏洞地址，上传文件（与解析漏洞结合利用），审查元素得到上传文件完整路径

fackeditor存在两种解析漏洞一种是文件形式的和iis6.0的漏洞相似：xx.asp;.txt xx.asp;.xx.txt上传这样的文件会被当作asp来执行，还有一种是文件夹形式的：xx.asp/xx.jpg 这时xx.jpg也会被当作asp来执行。但是在上传文件时，高版本的编辑器会将其中的.转译成_这样就起不到asp应有的效果，绕过的方法有两种，一个是对文件进行二次上传，第二次上传的文件中的.就不会被转义。还有一种方法就是用burpsuite进行抓包改包上传，在抓到的包中会出现类似这样的一段：Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=x.asp

NewFolderName后的参数会被过滤，CurrentFolder后的参数不会被过滤，CurrentFolder是又来操作目录的，所以可以将包改成上面那种形式就可以上传成功，然后就可以进行后续的上传一句话等操作。