伴随着这次Fckeditor新爆出来的一个漏洞,我来写个小总结,如有不全欢迎大家进行补充。仅关注上传漏洞,列目录、XSS什么的不在讨论之列。

1.ASP版

asp一般是搭在windows主机上,webserver一般为IIS6/IIS7/IIS7.5。具我现在所知,asp版的fckeditor已经可以全秒了

<2.4.x版本(也就是2.4.x及以下)的File参数时为黑名单验证,可以通过上传.asa,.cer,.asp;jpg(针对IIS6),如果asa、cer不被解析,还可以传.asp[空格],传的方法就是抓包,在数据包里的文件名后填个空格。

2.5.x和2.6.x:如果是IIS6.0 ,可以通过新建shell.asp文件夹方式的绕过。代码类似

Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Media&CurrentFolder=%2Fshell.asp&NewFolderName=z

复制代码然后往这个文件夹里传jpg,这个不多说了

如果是IIS7及以上,这种方法就傻逼了。这个时候可以借助刚爆出来的那种方法,先传shell.asp%00txt,然后再传一次。

至此、asp版本已经全秒了

2.aspx版

低版本同ASP版,2.6.x用刚爆出来的二次上传已经不好使了,不过新建test.asp的文件夹还可以使,一般IIS6.0会支持asp,可以先传个asp上去。然后再XX

3.php版

1.低版本(2.4.x及以下),仍然为黑名单验证,windows主机可以使用php[空格]传,2.4.3的有个media未设置导致任意文件上传可以秒linux。

2.2.5.x以后是白名单验证,仅能寄希望于wooyun里爆的那个<2.6.4的任意文件上传,成功率有限

3.2.6.4以上的php版,据我所知没戏。。求高人指点。我粗略的看了一下它的验证逻辑,表示没戏。windows里的敏感字符全给过滤了。。

大致这几种,欢迎补充交流。附一个python版的利用代码(写的比较早,新出的那个上传我还没实现),大家可以随便修改,但是修改后的无bug版请共享个、~

DownLoad: fck1.rar

利用方法很简单,参数为:http://xxx.com/xxx/fckeditor/,大家应该可以看懂的吧,我就不改了。

摘自:https://forum.90sec.org/viewthread.php?tid=4560&extra=page%3D1%26amp%3Borderby%3Ddateline%26amp%3Bfilter%3D2592000

版权声明:若无特殊注明,本文皆为( August )原创,转载请保留文章出处。