渗透测试学习 十6、 常见编辑器漏洞解析

大纲：

　　FCKeditor编辑器利用

　　EWEBeditor编辑器利用

　　其余类型编辑器利用

　　（用编辑器的好处：比网站自带的上传按钮的安全性高）

编辑器利用

　　查找编辑器目录（一般在网站根目录、用户目录、管理员目录下）

　　目录扫描：御剑等

　　目录遍历

　　蜘蛛爬行：AWVS、BP、菜刀

常见的目录：

　　editor、edit、upfile.asp、up.html、upimg.htm

　　图片上传的目录：admin、editor（根据分析网站的编辑器得出）

　　eweb的默认路径以下：

　　uploadfile/时间戳.jpg

　　fck默认的路径以下：

　　userfile/images/x.jpg

漏洞利用

　　百度相关编辑器的漏洞利用

　　site:站点 inurl:editor/

　　site:站点 inurl:fckeditor/

　　须要记得常见的编辑器的图片上传路径

FCKeditor

 

　　通常放在网站或管理员的路径下

　　FCK编辑器页面

　　　　FCKeditor/_samples/default.html

　　查看编辑器版本

　　　　FCKeditor/_whatsnew.html

　　查看文件上传路径

　　　　fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFolderAndFiles&Type=Inage&CurrentFolder=/

　　查看上传目录

　　　　xml页面中第二行”url=/xxx”的部分就是默认的基本上传路径，FCKeditor被动限制策略所致使的过滤不严问题

　　影响版本：FCKeditor x.x<=FCKeditor v2.4.3

　　脆弱性描述

　　　　FCKeditor v2.4.3中file类别默认拒绝上传类型（黑名单）以下：

　　　　　　html,htm,php,php2,php3,php4,php5,phtml,pwml,inc,asp,aspx,ascx,jsp,cfm,cfc,pl,bat,exe,com,dll,vbs,js,reg,cgi,htaccess,asis,sh,shtml,shtm,phtm

　　　　配合解析漏洞FCKeditor 2.0<=2.2容许上传asa,cer,php2,php4,inc,pwml,pht后缀的文件；上传后保存的文件直接用的$sFilePath=$sServerDir.$sFileName，而没有使用$sExtension为后缀，直接致使在Windows下在上传文件后面加.来突破，二在Apache下，由于“Apache文件名解析缺陷漏洞”也能够利用。

　　漏洞版本

　　　　Windows有任意文件上传漏洞如：x.asp;.jpg

　　　　Apache+Linux环境下在上传文件的后面加上.来突破

　　　　bp抓包截断：

　　　　1.asp%00.jpg

　　　　选中%00而后ctrl+shift+u手动截断。

　　　　还有一种状况是：

　　　　在编辑器中建立目录时，会将文件夹名字中的点号变成下划线，这种状况时能够递归建立目录。用bp抓包，将上级级目录设置为xx.asp，要建立的目录是x.asp，发包。此时就会建立一个名字为xx.asp的文件夹里面包含一个x_asp文件夹，在这个文件夹下建立的任何文件都会被解析为asp文件。

　　　　当遇到高版本的，PHP的，例如v2.6.1（FCK 2.6.3如下的）的，会遇到如下状况：

　　　　　　上传一个正常的图片，在&CurrentFolder=%2F的后面进行00截断，若不是在上传的文件名处。

　　　　　　例如：&CurrentFolder=%2Fa.php%00.gif 再也不用ctrl+shift+u进行手动截断，直接发送数据包，会自动截断。

EWEBeditor

 

　　先找eweb的后台，（eweb是存在独立的后台的）通常在ewebeditor/admin_style.asp或ewebeditor/admin/login.asp

　　一、进后台（弱口令、下载默认的数据库（ewebeditor/db/ewebeditor.mdb有时下载不了时能够ewebeditor/db/#或%23ewebeditor.mdb）、bp爆破、sqlmap注入）

　　二、修改上传类型（注意：在添加asp类型时由于程序会自动将asp变为空，因此能够写成aaspsp）

　　三、本身添加上传样式，添加上传按钮，上传

　　若果没有后台，利用目录遍历（id=&dir../../../）漏洞，下载网站数据库，登陆后台getshell

　　利用exp，getshell（找版本相应的exp直接getshell）

　　构造上传（下载他的数据库，看看他的构造样式，（ewebEditor_style），根据它的样式进行构造）

CKFinder

 

　　（配合解析漏洞）目录解析漏洞+IIS6.0+Windows 2003，只有在这种状况下才能够

南方数据编辑器

　　经过upfile_other.asp漏洞文件getshell

　　打开userreg.asp注册会员，登陆，使用双文件上传

　　在upfile_photo.asp文件中，只限制了对asp、asa、aspx类的文件上传，只要在“网站配置”的容许上传文件类型加上cer等被服务器解析的文件就好。

UEDITOR（百度的）

 

　　利用IIS6.0文件名解析漏洞，上传图片更名为x.php;.111112314.jpg直接getshell

　　命名方式：{time}{rang}.jpg

　　在前面加上a.asp;或者a.asp%00截断

DotNetTextBox编辑器

 

　　关键字：system_dntb/

　　当肯定存在system_dntb/uploading.aspx而且能打开，这时是不能上传的，因为它是验证cookie来得出上传路径的，咱们就可使用cookie欺骗 工具。

　　cookie:UserType=0;IsEdition=0;Info=1;

　　uploadFolder=../system_dntb/Upload/;

　　路径能够修改，只是权限够，上传后改成1.asp;.jpg利用IIS解析漏洞

　　system_dntb/advanced.aspx

　　用firebug将disabled=”disabled”, value=”jpg,gif,png”修改成enabled=”enabled”, value=”jpg,gif,png,aspx

PHPWEB网站管理系统后台kedit编辑器

　　两种利用方式：

　　　　一、利用IIS文件名解析漏洞

　　　　　　xx.php;xx.jpg

 

　　　　二、%00截断

　　　　　　xx.php%00jpg

Cute Editor在线编辑器

 

　　本地包含漏洞

　　影响版本：CuteEditor For Net 6.4

　　能够随意查看网站文件内容

　　利用：

　　http://www.xx.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config

总结：

　　编辑器大部分都是要配合IIS解析漏洞

　　步骤：

　　　　一、找编辑器

　　　　二、路径

　　　　三、版本

　　　　四、抓包改包绕过

 

2019-05-11  18:33:52