FCKeditor2.6.4.1编辑器漏洞利用
2020-12-28 16:08:59 Author: www.freebuf.com(查看原文) 阅读量:249 收藏

FCKeditor编辑器文件上传绕过

前言:目前在网上查找的基本都是一些针对针对低版本的绕过方法,而且网上给出的步骤都不够详细,对于初学者的学习来说很不友好,为此对于FCKeditor编辑器存在的漏洞利用进行了详细的讲解。

本文讲述绕过方法:00截断上传

配合IIS6.0解析漏洞上传

一、判断FCKeditor版本

常见判断版本的网址:  /FCKeditor/_whatsnew.html

/FCKeditor/editor/dialog/fck_about.html 

二、判断FCKeditor的上传界面 

常见判断上传界面的网址:/FCKeditor/editor/filemanager/connectors/test.html

/FCKeditor/editor/filemanager/connectors/uploadtest.html

当前测试版本为:2.6.4.1

1609138460_5fe9811c00f4320b574e2.png!small

方法一:00截断上传

尝试one.asp.jpg进行上传(发现报错,需要修改配置文件)

1609138514_5fe981528ca15fd1f6d5b.png!small

在按提示的配置文件中进行修改(FCKeditor\editor\filemanager\connectors\asp\config.asp)

1609138550_5fe9817697883ab8f9fe5.png!small

修改后再次进行上传发现将one.asp.jpg改成了one_asp.jpg  (在这个版本的FCKeditor 文件上传会将“.”变“_”下划线。我们就需要使用00截断进行绕过)

1609138574_5fe9818e4fb4242428921.png!small

第一次进行提交测试(注意:文件名改为:one.asp.aspjpg,再进行00截断)

从下图看出将"."变成了"_",其他的符号也被替换成了"_"

1609138602_5fe981aab09617efbbf59.png!small

第二次再以同样的方式进行上传(通过观察后缀已经变成.asp了)

因为是第二次上传检测到了同名文件,然后加了(1),接下来其余的被00截断了,成功上传了一句话木马并进行了解析

1609138651_5fe981db1ad26e6b24835.png!small

最后进行连接测试成功!

1609138676_5fe981f4165e3eaf4635b.png!small

方法二:配合IIS6.0文件解析漏洞

先创建名字为1.asp的文件夹,再上传图片马

点击Create Folder创建一个名为1.asp的文件夹

1609138705_5fe982113b59f12112b8a.png!small

创建完文件夹后点击Get Folders and Files查看到刚才创建的文件夹被改了名字,不是名字为1.asp的文件夹,而是1_asp,这样就无法利用iis6.0解析漏洞

1609138723_5fe982231f559055cee78.png!small

经过测试,在上方的当前文件夹改为/1.asp(此时该文件夹还不存在),可以发现不存在这个文件夹

1609138739_5fe98233659aded972a64.png!small

但是正是在这个不存在的1.asp文件夹下再随便创建一个文件夹后,会发现这个1.asp的文价夹就存在了

1609138762_5fe9824a70b83f74a7087.png!small

再次查看1.asp文件夹下的内容,发现多出了刚才创建的test文件夹,并且名为1.asp的文件夹也生效了

1609138783_5fe9825f79e67aacc778f.png!small

1609138806_5fe98276dc291e56b708c.png!small

接下来就可以在1.asp的问价夹下上传图片马进行获取webshell了

1609138823_5fe9828782329bdd5716d.png!small

下图进行查看发现已经上传成功了

1609138842_5fe9829a2bf96c3147e93.png!small

进行连接(连接成功)

1609138867_5fe982b3826485287fb3b.png!small


文章来源: https://www.freebuf.com/vuls/259022.html
如有侵权请联系:admin#unsafe.sh