渗透测试学习 十六、 常见编辑器漏洞解析

时间:2019-05-11 18:46:00 来源:互联网 作者: 神秘的大神 字体:

大纲:

  FCKeditor编辑器利用

  EWEBeditor编辑器利用

  其他类型编辑器利用

  (用编辑器的好处:比网站自带的上传按钮的安全性高)

编辑器利用

  查找编辑器目录(通常在网站根目录、用户目录、管理员目录下)

  目录扫描:御剑等

  目录遍历

  蜘蛛爬行:AWVS、BP、菜刀

常见的目录:

  editor、edit、upfile.asp、up.html、upimg.htm

  图片上传的目录:admin、editor(根据分析网站的编辑器得出)

  eweb的默认路径如下:

  uploadfile/时间戳.jpg

  fck默认的路径如下:

  userfile/images/x.jpg

漏洞利用

  百度相关编辑器的漏洞利用

  site:站点 inurl:editor/

  site:站点 inurl:fckeditor/

  需要记得常见的编辑器的图片上传路径

FCKeditor

 

  一般放在网站或管理员的路径下

  FCK编辑器页面

    FCKeditor/_samples/default.html

  查看编辑器版本

    FCKeditor/_whatsnew.html

  查看文件上传路径

    fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFolderAndFiles&Type=Inage&CurrentFolder=/

  查看上传目录

    xml页面中第二行”url=/xxx”的部分就是默认的基本上传路径,FCKeditor被动限制策略所导致的过滤不严问题

  影响版本:FCKeditor x.x<=FCKeditor v2.4.3

  脆弱性描述

    FCKeditor v2.4.3中file类别默认拒绝上传类型(黑名单)如下:

      html,htm,php,php2,php3,php4,php5,phtml,pwml,inc,asp,aspx,ascx,jsp,cfm,cfc,pl,bat,exe,com,dll,vbs,js,reg,cgi,htaccess,asis,sh,shtml,shtm,phtm

    配合解析漏洞FCKeditor 2.0<=2.2允许上传asa,cer,php2,php4,inc,pwml,pht后缀的文件;上传后保存的文件直接用的$sFilePath=$sServerDir.$sFileName,而没有使用$sExtension为后缀,直接导致在Windows下在上传文件后面加.来突破,二在Apache下,因为“Apache文件名解析缺陷漏洞”也可以利用。

  漏洞版本

    Windows有任意文件上传漏洞如:x.asp;.jpg

    Apache+Linux环境下在上传文件的后面加上.来突破

    bp抓包截断:

    1.asp%00.jpg

    选中%00然后ctrl+shift+u手动截断。

    还有一种情况是:

    在编辑器中创建目录时,会将文件夹名字中的点号变成下划线,这种情况时可以递归创建目录。用bp抓包,将上级级目录设置为xx.asp,要创建的目录是x.asp,发包。此时就会创建一个名字为xx.asp的文件夹里面包含一个x_asp文件夹,在这个文件夹下创建的任何文件都会被解析为asp文件。

    当遇到高版本的,PHP的,例如v2.6.1(FCK 2.6.3以下的)的,会遇到以下情况:

      上传一个正常的图片,在&CurrentFolder=%2F的后面进行00截断,若不是在上传的文件名处。

      例如:&CurrentFolder=%2Fa.php%00.gif 不再用ctrl+shift+u进行手动截断,直接发送数据包,会自动截断。

EWEBeditor

 

  先找eweb的后台,(eweb是存在独立的后台的)一般在ewebeditor/admin_style.asp或ewebeditor/admin/login.asp

  1、进后台(弱口令、下载默认的数据库(ewebeditor/db/ewebeditor.mdb有时下载不了时可以ewebeditor/db/#或%23ewebeditor.mdb)、bp爆破、sqlmap注入)

  2、修改上传类型(注意:在添加asp类型时因为程序会自动将asp变为空,所以可以写成aaspsp)

  3、自己添加上传样式,添加上传按钮,上传

  若果没有后台,利用目录遍历(id=&dir../../../)漏洞,下载网站数据库,登录后台getshell

  利用exp,getshell(找版本相应的exp直接getshell)

  构造上传(下载他的数据库,看看他的构造样式,(ewebEditor_style),根据它的样式进行构造)

CKFinder

 

  (配合解析漏洞)目录解析漏洞+IIS6.0+Windows 2003,只有在这种情况下才可以

南方数据编辑器

  通过upfile_other.asp漏洞文件getshell

  打开userreg.asp注册会员,登录,使用双文件上传

  在upfile_photo.asp文件中,只限制了对asp、asa、aspx类的文件上传,只要在“网站配置”的允许上传文件类型加上cer等被服务器解析的文件就好。

UEDITOR(百度的)

 

  利用IIS6.0文件名解析漏洞,上传图片改名为x.php;.111112314.jpg直接getshell

  命名方式:{time}{rang}.jpg

  在前面加上a.asp;或者a.asp%00截断

DotNetTextBox编辑器

 

  关键字:system_dntb/

  当确定存在system_dntb/uploading.aspx并且能打开,这时是不能上传的,由于它是验证cookie来得出上传路径的,我们就可以使用cookie欺骗 工具。

  cookie:UserType=0;IsEdition=0;Info=1;

  uploadFolder=../system_dntb/Upload/;

  路径可以修改,只是权限够,上传后改为1.asp;.jpg利用IIS解析漏洞

  system_dntb/advanced.aspx

  用firebug将disabled=”disabled”, value=”jpg,gif,png”修改为enabled=”enabled”, value=”jpg,gif,png,aspx

PHPWEB网站管理系统后台kedit编辑器

  两种利用方式:

    1、利用IIS文件名解析漏洞

      xx.php;xx.jpg

 

    2、%00截断

      xx.php%00jpg

Cute Editor在线编辑器

 

  本地包含漏洞

  影响版本:CuteEditor For Net 6.4

  可以随意查看网站文件内容

  利用:

  http://www.xx.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config

总结:

  编辑器大部分都是要配合IIS解析漏洞

  步骤:

    1、找编辑器

    2、路径

    3、版本

    4、抓包改包绕过

 

2019-05-11  18:33:52