【合天网安】FCKeditor 2.4.3文件上传漏洞

最新推荐文章于 2024-05-14 06:36:46 发布
最新推荐文章于 2024-05-14 06:36:46 发布
阅读量947 收藏 2
点赞数
分类专栏: 合天网安学习笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hehigoxqc606/article/details/108341607
版权

【合天网安实验室】FCKeditor 2.4.3文件上传漏洞

 

  • 编辑器漏洞

       常见的文本编辑器有FCKeditor、Ewebeditor、UEditor、KindEditor、XHeditor等,它们包含的功能类似,如图片上传、视频上传、远程下载等。使用这类编辑器减少了程序开发的时间,但也存在通用性漏洞带来的危害。

  • 漏洞介绍

FCKeditor/fckeditor/editor/filemanager/upload/php/upload.php文件上传漏洞。

漏洞修复:upload.php文件使用黑名单校验,可以根据需要的类型修改为白名单参数。

  • FCKeditor介绍

FCKeditor是一款开放源码的HTML文本编辑器,可以为用户提供微软office软件一样的在线文档编辑服务。FCKeditor不需要安装任何形式的客户端,且兼容绝大多数主流浏览器,支持PHP、jsp、asp、python等编程环境。

  •  实战过程:

  1.  2.4.3版本存在版本信息泄露,通过两种方式查看FCKeditor版本信息。

    浏览器访问:http://10.1.1.100/fckeditor-master/editor/dialog/fck_about.html

最低0.47元/天 解锁文章
Fit柠檬茶嘻
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FCKeditor 2.4.3详细使用方法
08-21
FCKeditor 2.4.3详细使用方法
修改fckeditor文件功能步骤
10-30
fckeditor文件功能修改详解】 fckeditor是一款流行的开源在线文本编辑器,它提供了丰富的文本编辑功能,包括文件。然而,对于某些用户而言,fckeditor自带的文件功能可能存在不便之处,例如需要多步...
FCKeditor 2.4.3文件漏洞 ——实验室学习笔记
weixin_42582241的博客
02-22 2809
实验链接 FCKeditor是一款开放源码的文本编辑器,其2.4.3版本upload.php文件使用黑名单进行文件校验,通过实验学习如何绕过黑名单检测,上恶意文件。 链接:http://www.hetianlab.com/expc.do?ce=374758bd-360d-44ac-8db5-a60ac5c25866 实验简介 实验所属系列: Web全 实验对象: 本科/专科信息全专业 相关课...
2024年最新fckeditor编辑器上漏洞getshell——突破(1),2024物联嵌入式开发不死我不倒
最新发布
2401_85011796的博客
05-14 894
百度搜索fckeditor编辑器漏洞利用,找到参考链接:https://www.cnblogs.com/milantgh/p/3775396.html,按照链接中常用上地址挨个进行测试。访问上文件后,发现是图片,并没有当作asp进行解析。_x(1).jpg,以前这种方法是可以的,但这个环境不可以,知道此方法就行。接下来,查看目标站搭建平台,发现是IIS6.0,那么可以结IIS6.0的解析漏洞进行利用。测试过程中发现第三个会弹窗提示,说明没有访问到上目录,那么添加…上logo.asp;
fckeditor2.4.3 编辑器文件漏洞
黑面狐
04-24 4702
一个古老的漏洞记录一下。一、环境搭建与利用下载fckeditor2.4.3版本后用phpstudy搭建。2.4.3版本一下存在版本信息泄露查看目录/fckeditor/_whatsnew.html需要修改文件fckeditor\editor\filemanager\browser\default\connectors\php\config.php中的参数$Config['Enabled'] = T...
FCKeditor2.4.3文件-文本编辑器漏洞
m0_61361405的博客
03-27 466
FCKeditor文本编辑程序,是用户提供在线的文档编辑服务,其具有与微软office软件一样的功能,与之不同的是FCKeditor不需要用户装任何形式的客户端,FCKeditor程序非常精简但功能强大,因此而受到广大应用者的青睐。而FCKeditor在2.4.3版本中存在可以利用的文件漏洞首先是敏感信息的暴露:在/FCKeditor/editor/dialog/fck_about.html中能查看到FCKeditor的版本信息。除此之外还有默认上页面和其他敏感文件
在Tomcat5.0中使用FCKeditor2.4.3
探索与发现
09-08 114
  在做Web程序时常会需要Web页上的在线文本编缉器。在简单的情况下用HTML的<TEXTAREA>就可以,但是如果需要功能比较全的在线文本编缉器,那就需要专门的程序来支持了。FCKeditor是一个开源的功能强大的在线文本编缉器。现在csdn的博客和百度的博客用的都是这个,可见它的功能非同一般。   FCKeditor的信息可以在http://www.fckeditor.net得...
FCKeditor文件漏洞及利用-File-Upload-Vulnerability-in-FCKEditor1
08-03
Exploiting PHP Upload Module ofBypassing File-type CheckExploiting PHP Upload Mo
fckeditor php上文件重命名的设置
10-30
我使用的fckeditor版本是fckeditor2.6.4.fckeditor默认上文件不没有重命名的,这样的话就很麻烦,有时上中文的文件或者名称重复的文件就很恼火。
fckeditor 防止上非法文件 增加登录判断
10-28
fckeditor 防止上非法文件 增加登录判断,需要的朋友可以参考下
使用fckeditor2.4.3作为文件浏览器
zdfss的专栏
02-05 496
1.修改editor相关文件 frmresourcetype.html  加入文件类型Templatevar aTypes = [ [File,File], [Image,Image], [Flash,Flash], [Media,Media], [Template,Template]//本行添加] ;2.文件浏览文件窗口地址和FCKed
FCKeditor_2.4.3—超级简化版
06-03
fckeditor_2.4.3—超级简化版,非常小巧的Web文本编辑器
FCKeditor_2.4.3.rar
12-14
最流行在线编辑器,知道的下
asp.net中使用fckeditor2.4.3
月亮宝石的天空
10-12 1218
1、sourceforge.net下载FCKeditor2.4.3和FCKeditor_net2.2控件2、解压缩FCKeditor2.4.3到目录FCKeditor然后整体拷贝FCKeditor目录到asp.net的web目录下。解压缩FCKeditor_net2.2,拷贝其中的bin/release下的dll到asp.net的web项目下面的bin目录(编译一下web项目就会生成该目录)。3、(可选择)把FCKeditor_net控件加入toolbar的工具列表内。展开工具箱的常用标签组(General
FCKeditor_2.4.3文件漏洞
shurongyugong的博客
11-24 515
装包,复现连接如下。
FCKeditor_2.4.3的精简和使用
寒冬玉
11-23 1021
 FCKeditor的精简和使用其实络已有很多的资料,但是介绍的不全或是不够详细。可能是我愚顿吧,反正我第一次使用FCKeditor的时候,就有这个感觉,所以这次我力求初次使用FCKeditor的朋友通过我这篇文章的介绍能够顺利是操作。首先精简:1.在fckeditor文件夹中删除_samples文件夹和.txt文件及.pl文件。1.1.其实只要保留保留editor文件夹、fckconfig.j
FCKeditor 2.0-2.4.3 arbitrary file upload
cnbird's blog
11-11 1019
FCKeditor 2.0-2.4.3 arbitrary file upload
fckeditor图片 php_Fckeditor 2.4.2 php任意上文件漏洞修复
weixin_42468240的博客
03-09 342
1、漏洞描述fckeditor/editor/filemanager/upload/php/ 目录下config.php 文件global $Config ;// SECURITY: You must explicitelly enable this "uploader".$Config['Enabled'] = false ;// Set if the file type must be con...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值