i春秋:通过案例学安全—“FCK编辑器”版本识别及信息收集技

最新推荐文章于 2024-05-14 03:24:06 发布
最新推荐文章于 2024-05-14 03:24:06 发布
阅读量3.6k 收藏
点赞数
文章标签: 初学 安全 渗透 漏洞 入侵
实验环境
  • 实验环境
    • 操作机:Windows XP
    • 目标机:Windows 2003
  • 目标网址:www.test.com
实验目的

本课程带领大家学习如何查看“FCK编辑器”的版本并且收集信息,为之后章节利用“FCK编辑器”解析漏洞打下基础。

实验思路

  1. 查看FCKeditor版本信息

  2. 了解FCKeditor不同版本上传地址

  3. 防御方案

实验步骤
1

查看FCKeditor版本信息

  • 本次实验使用测试网址http://www.test.com作为目标网站
  • 本节课程我们将查看FCK的两个不同的版本,由此来了解FCK不同版本的上传地址。

首先,在浏览器地址栏中的测试网址后面输入:/_samples/default.html 打开编辑器页面,点击“?”图标(鼠标放在问号图标上面点击问号图片)可以在关于中查看到编辑器的版本信息为`2.4.2。

Alt text

在浏览器地址栏中的测试网址后面把_samples/default.html改为/_whatsnew.html访问这个地址可以查看FCK当前版本和历史版本,第一个显示的是当前版本Version 2.4.2下面是FCK 2.4.2的历史版本

Alt text

接下来,我们在浏览器地址栏中的测试网址后面输入:/_samples/default.html打开编辑器页面,点击”?”(问号图标)可以查看编辑器的版本信息为2.6.6,与刚才的2.4.2的查看方法是相同的。

Alt text

在浏览器地址栏中的测试网址后面把/_samples/default.html改为/_whatsnew.html访问这个地址可以查看FCK当前版本和历史版本,第一个显示的是当前版本’Version 2.6.6’下面是FCK2.6.6的历史版本。

Alt text

2

了解FCKeditor不同版本上传地址

我们先来查看FCK2.4.2版本的上传点,首先打开FCK编辑器页面,在编辑框的上方,可以看到图片上传图标,图片上传这里就是一个上传点,点击上传图片图标出现图像域,然后点击’上传’标签页。接下来,浏览本地要上传的文件(如yijuhua.jpg),选择文件后,点击’发送到服务器上’就可以进行上传了。

Alt text

我们继续查看FCK2.4.4版本的其他上传点,在浏览器地址栏中的测试网址后面输入:editor/filemanager/browser/default/connectors/test.html打开另外一个上传点,这里有几个按钮,首先是Get Folders and Files(获取当前文件夹和文件),点击后,可以看到当前的文件信息;其次是Create Folder(创建目录),我们可以通过Create Folder来新建文件夹。点击”浏览”,这里可以选择要上传的文件,例如上传木马(yijuhua.jpg),然后点击Upload(上传)按钮,即可完成上传。

Alt text

我们继续查看FCK2.4.4版本的另一个上传点,在浏览器地址栏中的测试网址后面输入:/editor/filemanager/upload/test.html即可打开第三个上传点页面,在这里点击浏览选择文件,然后点击Send it to the Server(发送到服务器上传),即可上传,如果上传成功,则会自动显示地址在Uploaded File URL中(上传的文件URL)。

Alt text

FCK2.6.6版本的上传点与FCK2.4.2的基本相同,在浏览器地址栏中的测试网址后面输入:/editor/filemanager/connectors/test.html打开后,可以看上传点,页面与FCK2.4.2版本是相同的。

Alt text

接下来,我们查看FCK2.6.6版本的另一个上传点,在浏览器地址栏中的测试网址后面输入:/editor/filemanager/connectors/uploadtest.html,打开后,可以看见,与FCK2.4.2版本的第二个上传点页面也是相同的。

Alt text

3

防御方案

1.客户端检测,使用JS对上传图片检测,包括文件大小、文件扩展名、文件类型等

2.服务端检测,对文件大小、文件路径、文件扩展名、文件类型、文件内容检测,对文件重命名

3.其他限制,服务器端上传目录设置不可执行权限

喜欢散步
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新FCKeditor_2.6 版本 FCKeditor编辑器和控件
07-26
兼容目前的浏览器 里面包含FCKeditor编辑器和控件 一、集成方法 FCKeditor应用在ASP.NET上,需要两组文件,一组是FCKeditor本身,另一个是用于ASP.NET的FCKeditor控件(分为1.1和2.0两个版本,这里使用2.0版本)。 1. 将FCKeditor加入到项目中 解压FCKeditor编辑器,得到文件夹fckeditor,复制此文件夹到Web应用的项目下(也可以是子孙目录下)。 解压FCKeditor控件,在其子目录bin/Release/2.0下有一个程序集。在Web应用的项目中引用该程序集。 2. 在页面中使用FCKeditor 有两种方式。 (1)手工编码 在页面中加入ASP.NET指令: 然后在需要的地方加入FCKeditor控件: (2)集成到Visual Studio工具箱 打开一ASP.NET页面,展开Toolbox,打开右键菜单,选择“Choose Items ...”,在出现的“Choose Toolbox Items”会话框的“.NET Framework Components”选项卡中选择“Browse”,找到并选中FCKeditor程序集,打开后回到“Choose Toolbox Items”窗口,点击“OK”,完成控件导入。 这时,在Toolbox的General分类下出现了一个名为FCKeditor的控件,可以像使用Visual Studio内置控件一样使用它。 3. 配置FCKeditor编辑器路径 在页面中,使用的是FCKeditor控件,该控件需要知道FCKeditor编辑器文件组的路径。有两种配置方法。 (1)配置web.config 在appSettings配置节中加入 使用这种配置方法后,对于项目中任何一个页面中用到的FCKeditor控件,都不用再配置其BasePath属性。 (2)直接对用到的FCKeditor控件进行配置 在页面代码中设置FCKeditor的属性BasePath为FCKeditor编辑器文件组的路径,或者在Page_Init事件处理器中设置其BasePath的值。 4. 配置FCKeditor编辑器文件上传路径 在web.config的appSettings配置节中加入 这样,就完成了FCKeditor向ASP.NET页面的集成工作。 二、配置FCKeditor 按照FCKeditor的默认配置,可以完成一些常用的HTML可视化编辑工作,但在实际应用中,还需要对其做进一步的配置。FCKeditor控件的可配置属性不多,且配置后只能作用于一个单一实例。实际上,需要对FCKeditor编辑器文件组中的通用配置文件/fckconfig.js和ASP.NET专用文件上传管理代码文件/editor/filemanager/connectors/aspx/config.ascx进行配置。 1. 配置控件语言 FCKeditor是自动探测浏览器所使用的语言编码的,其默认语言是英文。修改配置行"FCKConfig.DefaultLanguage = 'en';"为'zh-cn',采用中文为默认语言。 2. 配置控件应用FCKeditor默认是用于php术的。修改配置行"var _FileBrowserLanguage = 'php';"和"var _QuickUploadLanguage = 'php';"为'aspx',采用ASP.NET术。 3. 配置Tab键 默认Tab键在FCKeditor中不可用,可以修改配置行"FCKConfig.TabSpaces = 0;"为1,启用Tab键。 4. 定制FCKe
JavaScript获取FCK编辑器信息的具体方法
10-27
介绍了JavaScript获取FCK编辑器信息的实例代码,有需要的朋友可以参考一下
fck编辑器查看版本.zip
weixin_34150830的博客
07-12 224
fck编辑器查看版本.zip 点击进入高速下载通道 转载于:https://www.cnblogs.com/gwrjy/p/7157683.html
2024年【渗透测试】--- FCKeditor文本编辑器漏洞_ckeditor漏洞,保洁阿姨看完都会了
最新发布
2401_85013604的博客
05-14 607
迎加入我们的的圈子(术交流、习资源、职场吐槽、大厂内推、面试辅导),让我们一起习成长!
Fckeditor常见漏洞的挖掘与利用整理汇总
weixin_34410662的博客
05-10 223
  查看编辑器版本FCKeditor/_whatsnew.html ————————————————————————————————————————————————————————————— 2. Version 2.2 版本号 Apache+linux 环境下在上传文件后面加个.突破!測试通过。 ———————————————————————————————————...
FCK编辑器版本识别信息收集
whatiwhere的博客
11-24 1579
实验目的 习如何查看FCK编辑器版本、上传点地址等 实验内容 实验步骤 步骤1:查看FCKeditor版本信息 本次实验使用测试网址http://www.test.com作为目标网站 本节课程我们将查看FCK的两个不同的版本,由此来了解FCK不同版本的上传地址。 快速查找实验工具 打开桌面 Everything 搜索工具,输入实验工具名称,右击选择“打开路径”,跳转实验工具所在位...
测试FCKeditor
刘寒的技术blog
05-29 996
 测试FCKeditor测试FCKeditor 我觉得fckeditor中允许查看html源代码可能会导致页面问题。故测试一番。 http://download1.csdn.net/down3/20070529/29132108174.gif 1    点下 2  function ttt(){if(top.location.href!=this.location.href)
FCK 编辑器焦点问题
10-29
在使用FCK编辑器的时候,我们经常会进行对FCK编辑器的赋值操作,赋值的操作有两个关键的地方,如果不清楚的话出了错还百思不得其解.
FCK编辑器FCKEditor)添加新按钮和功能的修改方法
10-28
最近项目需要对已有的FCKeditor添加新的功能,以前的做法只是在外壳处再次封装,这次无法满足需求只能进行内部修改了。
FCK编辑器及使用手册
11-10
**FCK编辑器详解** FCKeditor是一款开源的JavaScript富文本编辑器,它为Web开发者提供了在网页上创建和编辑富文本内容的功能。这款编辑器以其强大的功能、易用性和可扩展性,曾经广泛应用于各类网站和应用程序。...
fckeditor完整版本下载
09-26
fckeditor完整版本下载 绝对真实 没有虚假 大家放心下吧
FCKeditor 加强版本
01-14
Fckeditor在线编辑器,集成了word导入功能,可以直接导入word文档。正在所在即所得,格式不会变哦。另外,支持word、excel、powerpoint 文档直接上传,并可以自动转换pdf文档,最终转换成jpg格式文件,文章显示内容为文档截图内容。还有一项功能是可以根据url地址获取网站快照功能,存储于fckeditor中。功能强大,不容错过哦。
FCK编辑器
03-20
NULL 博文链接:https://happypigs.iteye.com/blog/797257
FCK文本编辑器
09-03
包含了新版本和旧版本,源码演示以及编辑器的配置
FCKeditor java版本
10-24
以前上传一个,可能对文件有更改,结果不能用.又找到一个,希望可以帮助大家..好的话打个分啊 o(∩_∩)o... 包包里有使用方法的.
FCKeditor2.4.1版本(JAVA版)配置
songxiuliang的专栏
03-29 1040
最近看了一下FCKeditor,然后到网上下载了一个新的版本FCKeditor2.4.1,就去网上找关于它的配置,看了很多的配置说明,但是怎么都在文件里找不到他说的那些文件,结果我下载了2.3版本的,还真有那些文件呢,不过要是用新版本的就应该不是那样配置了吧,其实新的版本要改写的东西很少了,下面就简单的写写2.4.1的配置吧 1)解压FCKeditor_2.6.4.zip,然后把fckeditor
FCK版本漏洞
bulebirds的专栏
04-25 3095
FCKeditor v2.43版本FCKeditor/editor/filemanager/browser/default/connectors/php/config.php FCKeditor V2.6.6版本 fckeditor/editor/filemanager/connectors/asp/config.php   查看编辑器版本 FCKeditor/_whats
fckeditor编辑器改造示例:增加PRE,CODE控件
大剑师兰特的GIS世界
12-17 326
fckeditor是一个好用的编辑器,为了更好用,我们可以通过修改文件来个性化这个编辑器
解释一下FCK:editor标签的instanceName,basePath,toolbarSet
03-30
FCK是一个开源的富文本编辑器,用于在网页上创建、编辑和格式化文本内容。在使用FCK编辑器时,需要设置一些属性,其中包括instanceName、basePath和toolbarSet。 1. instanceName:该属性用于指定FCK编辑器实例的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值