滲透測試學習 十6、 常見編輯器漏洞解析

大綱：

　　FCKeditor編輯器利用

　　EWEBeditor編輯器利用

　　其餘類型編輯器利用

　　（用編輯器的好處：比網站自帶的上傳按鈕的安全性高）

編輯器利用

　　查找編輯器目錄（一般在網站根目錄、用戶目錄、管理員目錄下）

　　目錄掃描：御劍等

　　目錄遍歷

　　蜘蛛爬行：AWVS、BP、菜刀

常見的目錄：

　　editor、edit、upfile.asp、up.html、upimg.htm

　　圖片上傳的目錄：admin、editor（根據分析網站的編輯器得出）

　　eweb的默認路徑以下：

　　uploadfile/時間戳.jpg

　　fck默認的路徑以下：

　　userfile/images/x.jpg

漏洞利用

　　百度相關編輯器的漏洞利用

　　site:站點 inurl:editor/

　　site:站點 inurl:fckeditor/

　　須要記得常見的編輯器的圖片上傳路徑

FCKeditor

 

　　通常放在網站或管理員的路徑下

　　FCK編輯器頁面

　　　　FCKeditor/_samples/default.html

　　查看編輯器版本

　　　　FCKeditor/_whatsnew.html

　　查看文件上傳路徑

　　　　fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFolderAndFiles&Type=Inage&CurrentFolder=/

　　查看上傳目錄

　　　　xml頁面中第二行」url=/xxx」的部分就是默認的基本上傳路徑，FCKeditor被動限制策略所致使的過濾不嚴問題

　　影響版本：FCKeditor x.x<=FCKeditor v2.4.3

　　脆弱性描述

　　　　FCKeditor v2.4.3中file類別默認拒絕上傳類型（黑名單）以下：

　　　　　　html,htm,php,php2,php3,php4,php5,phtml,pwml,inc,asp,aspx,ascx,jsp,cfm,cfc,pl,bat,exe,com,dll,vbs,js,reg,cgi,htaccess,asis,sh,shtml,shtm,phtm

　　　　配合解析漏洞FCKeditor 2.0<=2.2容許上傳asa,cer,php2,php4,inc,pwml,pht後綴的文件；上傳後保存的文件直接用的$sFilePath=$sServerDir.$sFileName，而沒有使用$sExtension爲後綴，直接致使在Windows下在上傳文件後面加.來突破，二在Apache下，由於「Apache文件名解析缺陷漏洞」也能夠利用。

　　漏洞版本

　　　　Windows有任意文件上傳漏洞如：x.asp;.jpg

　　　　Apache+Linux環境下在上傳文件的後面加上.來突破

　　　　bp抓包截斷：

　　　　1.asp%00.jpg

　　　　選中%00而後ctrl+shift+u手動截斷。

　　　　還有一種狀況是：

　　　　在編輯器中建立目錄時，會將文件夾名字中的點號變成下劃線，這種狀況時能夠遞歸建立目錄。用bp抓包，將上級級目錄設置爲xx.asp，要建立的目錄是x.asp，發包。此時就會建立一個名字爲xx.asp的文件夾裏面包含一個x_asp文件夾，在這個文件夾下建立的任何文件都會被解析爲asp文件。

　　　　當遇到高版本的，PHP的，例如v2.6.1（FCK 2.6.3如下的）的，會遇到如下狀況：

　　　　　　上傳一個正常的圖片，在&CurrentFolder=%2F的後面進行00截斷，若不是在上傳的文件名處。

　　　　　　例如：&CurrentFolder=%2Fa.php%00.gif 再也不用ctrl+shift+u進行手動截斷，直接發送數據包，會自動截斷。

EWEBeditor

 

　　先找eweb的後臺，（eweb是存在獨立的後臺的）通常在ewebeditor/admin_style.asp或ewebeditor/admin/login.asp

　　一、進後臺（弱口令、下載默認的數據庫（ewebeditor/db/ewebeditor.mdb有時下載不了時能夠ewebeditor/db/#或%23ewebeditor.mdb）、bp爆破、sqlmap注入）

　　二、修改上傳類型（注意：在添加asp類型時由於程序會自動將asp變爲空，因此能夠寫成aaspsp）

　　三、本身添加上傳樣式，添加上傳按鈕，上傳

　　若果沒有後臺，利用目錄遍歷（id=&dir../../../）漏洞，下載網站數據庫，登陸後臺getshell

　　利用exp，getshell（找版本相應的exp直接getshell）

　　構造上傳（下載他的數據庫，看看他的構造樣式，（ewebEditor_style），根據它的樣式進行構造）

CKFinder

 

　　（配合解析漏洞）目錄解析漏洞+IIS6.0+Windows 2003，只有在這種狀況下才能夠

南方數據編輯器

　　經過upfile_other.asp漏洞文件getshell

　　打開userreg.asp註冊會員，登陸，使用雙文件上傳

　　在upfile_photo.asp文件中，只限制了對asp、asa、aspx類的文件上傳，只要在「網站配置」的容許上傳文件類型加上cer等被服務器解析的文件就好。

UEDITOR（百度的）

 

　　利用IIS6.0文件名解析漏洞，上傳圖片更名爲x.php;.111112314.jpg直接getshell

　　命名方式：{time}{rang}.jpg

　　在前面加上a.asp;或者a.asp%00截斷

DotNetTextBox編輯器

 

　　關鍵字：system_dntb/

　　當肯定存在system_dntb/uploading.aspx而且能打開，這時是不能上傳的，因爲它是驗證cookie來得出上傳路徑的，咱們就可使用cookie欺騙 工具。

　　cookie:UserType=0;IsEdition=0;Info=1;

　　uploadFolder=../system_dntb/Upload/;

　　路徑能夠修改，只是權限夠，上傳後改成1.asp;.jpg利用IIS解析漏洞

　　system_dntb/advanced.aspx

　　用firebug將disabled=」disabled」, value=」jpg,gif,png」修改成enabled=」enabled」, value=」jpg,gif,png,aspx

PHPWEB網站管理系統後臺kedit編輯器

　　兩種利用方式：

　　　　一、利用IIS文件名解析漏洞

　　　　　　xx.php;xx.jpg

 

　　　　二、%00截斷

　　　　　　xx.php%00jpg

Cute Editor在線編輯器

 

　　本地包含漏洞

　　影響版本：CuteEditor For Net 6.4

　　能夠隨意查看網站文件內容

　　利用：

　　http://www.xx.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config

總結：

　　編輯器大部分都是要配合IIS解析漏洞

　　步驟：

　　　　一、找編輯器

　　　　二、路徑

　　　　三、版本

　　　　四、抓包改包繞過

 

2019-05-11  18:33:52