FckEditor编辑器上传漏洞getshel总结

admin 2022年1月6日01:38:02安全博客评论9 views1874字阅读6分14秒阅读模式

一、环境搭建

在我的资源中下载: fckeditor编辑器上传——含有点变成下划线限制的源码包,下载后,使用IIS搭建即可。

二、漏洞复现突破.变_

访问目标网站,如下图所示:
FckEditor编辑器上传漏洞getshel总结
通过遇见扫描,发现目标网站存在fckeditor编辑器
FckEditor编辑器上传漏洞getshel总结
百度搜索fckeditor编辑器漏洞利用,找到参考链接:https://www.cnblogs.com/milantgh/p/3775396.html

按照链接中常用上传地址挨个进行测试
FckEditor编辑器上传漏洞getshel总结
FckEditor编辑器上传漏洞getshel总结
测试过程中发现第三个会弹窗提示,说明没有访问到上传目录,那么添加…/…/到文件上传目录
FckEditor编辑器上传漏洞getshel总结
FckEditor编辑器上传漏洞getshel总结
接下来,查看目标网站搭建平台,发现是IIS6.0,那么可以结合IIS6.0的解析漏洞进行利用
FckEditor编辑器上传漏洞getshel总结
上传logo.asp;.x.jpg图片
FckEditor编辑器上传漏洞getshel总结
成功上传,并查看页面源代码查找文件路径并进行访问
FckEditor编辑器上传漏洞getshel总结
访问上传的文件后,发现是图片,并没有当作asp进行解析。而且文件名字变为了logo_asp;x.jpg,这是因为Fckeditor进行了上传限制
在这里插入图片描述

突破方法:

突破方法一(配合解析漏洞):二次上传

1
2
3
第一次上传 logo.asp;x.jpg ==>变成logo_asp;_x.jpg 
第二次 上传logo.asp;x.jpg ==>变成logo.asp;.x(1).jpg
12

再次上传logo.asp;x.jpg文件
FckEditor编辑器上传漏洞getshel总结
虽然会提示,但不用理会,点击确定继续上传即可
FckEditor编辑器上传漏洞getshel总结
之后成功上传,结果是logo_asp;_x(1).jpg,以前这种方法是可以的,但这个环境不可以,知道此方法就行
在这里插入图片描述

突破方法二(配合解析漏洞):创建文件夹

新建一个ceshi.asp文件夹并抓包查看HTTP请求头,如下图所示:
/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2F&NewFolderName=ceshi.asp&uuid=1607337224005
FckEditor编辑器上传漏洞getshel总结
发现文件夹变成了ceshi_asp
在这里插入图片描述

接下里,直接访问当前文件夹并抓包查看HTTP请求头,如下图所示:
/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F&uuid=1607337266178
FckEditor编辑器上传漏洞getshel总结
对比两个HTTP请求数据包不同的部分,发现只有后半部分不一样,第一个请求包多一个NewFolderName参数
&CurrentFolder=%2F&NewFolderName=ceshi.asp&uuid=1607337224005
&CurrentFolder=%2F&uuid=1607337266178

分析:
%2f也就是/ ,猜测
&CurrentFolder=/a/&NewFolderName=aaa.asp 会变成/a/aaa.asp

&CurrentFolder=/&uuid=1582206392524 就是/

那么猜测上传/q.asp/w.asp是否可以突破Fckeditor的限制
FckEditor编辑器上传漏洞getshel总结
成功tupo,创建文件夹q.asp
FckEditor编辑器上传漏洞getshel总结
因为程序只过滤了NewFolderName参数,没有对CurrentFolder参数进行过滤,那么我们就可以利用的CurrentFolder参数,通过CurrentFolder创建文件夹。
既然文件夹创建好了那么上传木马文件cus.asp,注意:将cus.asp后缀修改为cus.jpg,后再进行上传
FckEditor编辑器上传漏洞getshel总结
FckEditor编辑器上传漏洞getshel总结
之后访问上传的cus.jpg文件发现被当作asp文件进行了解析
FckEditor编辑器上传漏洞getshel总结
使用菜刀成功连接
在这里插入图片描述

突破方法三(双重截断上传+二次上传):

此方法不配合解析漏洞
首先上传一个x.asp.asp.jpg文件,并且使用burpsuite拦截数据包
FckEditor编辑器上传漏洞getshel总结
拦截数据包后将x.asp.asp.jpg修改为x.asp%00asp%00jpg
FckEditor编辑器上传漏洞getshel总结
之后再将x.asp%00asp%00jpg中的%00进行URL解码,解码之后如下图所示,虽然显示什么也没有,但是已经解码
FckEditor编辑器上传漏洞getshel总结
FckEditor编辑器上传漏洞getshel总结
解码之后点击发送,提示你文件上传成功,文件名为x.asp__asp__jpg
FckEditor编辑器上传漏洞getshel总结
数据包什么也不要修改,点击send再次发送,发现文件上传成功,文件名为:x(1).asp,成功突破限制
FckEditor编辑器上传漏洞getshel总结
访问该文件,发现被成功解析,使用菜刀成功连接
FckEditor编辑器上传漏洞getshel总结
在这里插入图片描述

转自:https://blog.csdn.net/weixin_40412037/article/details/110823562

FROM :b0urne.top | Author:b0urne

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日01:38:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  FckEditor编辑器上传漏洞getshel总结 http://cn-sec.com/archives/722023.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: