fckeditor上传漏洞总结

一)前言

fckeditor是比较常见的编辑器之一。很有可能getshell。所以对其了解显得比较重要。

fckeditor的上传漏洞与fck版本,脚本,web服务器类型以及服务器操作系统类型都有关。

服务器解析漏洞是比较基础和重要的知识具体参考:http://www.2cto.com/Article/201309/240797.html

文章看完就明白了,所以要是看见iis7.0不要再像我一样去上传什么1.asp;.jpg。。。。。

我现在根据fck版本来了解fckeditor上传漏洞

文章参考:

https://forum.90sec.org/forum.php?mod=viewthread&tid=4560&highlight=fckeditor

这个文章太美,所以几乎都是复制黏贴…

文章还给出了fck.py。读完源码收益非浅。

———————————————————————————————————-

二)分析

1.fck<=2.4.3 老版本的fck

asp:上传路径—editor/filemanager/upload/asp/upload.asp

File参数时为黑名单验证,可以通过上传.asa,.cer,.asp;jpg,如果asa,cer不被解析。[针对IIS6,这种方法对IIS7.0/7.5无效 一般很较少有突破]还可以传.asp[空格],传的方法就是抓包,在数据包里的文件名后填个空格[主要对windows]

php:editor/filemanager/upload/php/upload.php

低版本(2.4.x及以下),仍然为黑名单验证,windows主机可以使用php[空格]或者加点。Linux的apache可以进行解析漏洞上传 1.php.xxx

另外2.4.3的有个media未设置导致任意文件上传可以秒杀。

editor/filemanager/upload/php/upload.php?Type=Media 这个有一个任意文件上传

aspx:同ASP版

 

2.  2.5.x和2.6.x

全部脚本的版本:

白名单认证。安全性加强很多了

如果是IIS6.0 ,无论是什么脚本。通过下面语句新建shell.asp文件夹方式的绕过[IIS6.0大都支持上是支持asp的]

Exp:

1.Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Media&CurrentFolder=%2Fshell.asp&NewFolderName=z

2.Fckeditor/editor/filemanager/connectors/asp/connector.php?Command=CreateFolder&Type=Media&CurrentFolder=%2Fshell.asp&NewFolderName=z

3.Fckeditor/editor/filemanager/connectors/asp/connector.aspx?Command=CreateFolder&Type=Media&CurrentFolder=%2Fshell.asp&NewFolderName=z


php版本:

另外2.5.x到2.6.4 php版本:有一个漏洞,wooyun里爆的那个<2.6.4的任意文件上传,成功率有限.

Asp版本

Asp版本的小于2.6版本的 我看视频了 说burp截断上传两次 成功getshell

我也不明白其中的真理 – –

还有别办法 求介绍。。。。