查找编辑器目录:
- 目录扫描:御剑
要递归扫描,很多编辑器没有放在根目录,而是放在后台,例:admin/editor,xxx/user/editor- 目录遍历:
- 蜘蛛爬行:aws,爬行菜刀
- 使用百度:site:xxxx.com inurl:editor/fackeditor/ewebeditor
eweb:uploadfiles/2222222.jpg
fck: userfiles/zzzzz.jpg
一、FCKeditor编辑器利用 (可能放在根目录或者管理员目录下)
1.编辑器页/版本/文件上传路径
- FCKeditor编辑器页:FCKeditor/_samples/default.html
- 查看编辑器版本:FCKeditor/_whatsnew.html
- 查看文件上传路径:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=lmage&CurrentFolder=/
- 脆弱性描述
FCKeditor v2.4.3中File类别默认拒绝上传类型: html | htm l php|php2| php3|php4| php5 l phtml | pwml l inc l asp l aspx l ascx | jsp l cfm | cfc l pl | bat l exe |com |dll | vbs l js l reg I cgi l htaccess | asis | sh | shtml | shtm | phtm
Fckeditor2.0<=2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件 上传后它保存的文件直接用的$sFilePath = $sServerDir . s F i l e N a m e , 而 没 有 使 用 sFileName,而没有使用 sFileName,而没有使用sExtension为后缀
直接导致在win下在上传文件后面加个.来突破 ,而在apache下,因为Apache文件名解析缺陷漏洞"也可以利用之
windows有任意文件上传漏洞如x.asp;.jpg
Apache+linux环境下在上传文件后面加个.突破!测试通过。
2.5版本 突破.变_
1.使用FCK编辑器扫描工具找到上传网址。
2.如果直接创建a.asp,会生成a_asp,是不行的
以下是步骤:
然后Foeward提交
然后上传一句话、大小马等文件
高版本 大部分为php网站
如何突破:
- 上传图片的时候抓包
然后提交再进行下一步操作。
二、EWEBeditor编辑器利用
找后台:ewebeditor/admin_style.asp,ewebeditor/admin/login.asp
1.进后台:
-
弱口令
-
下载默认数据库:ewebeditor/db/ewebeditor.mdb
-
burp抓包爆破
-
利用注入点进行注入得到密码。
进入后台:1. 样式管理—新建样式----在图片类型里面添加:asa/cer等等,如果要加asp的话,需要这样写:aaspsp(程序会把asp替换为空)
- 选择样式,这里是test,工具栏——新增工具栏——按钮设置——新增工具栏
- 预览新建好的样式,然后复制链接。
4.输入链接,单击左上角图片进行编辑、上传。
如果没有后台,则利用目录遍历(例:下图),找网站数据库位置下载数据库,登录网站后台拿shell
/admin/editor/admin_uploadfile.asp?id=15&dir=…/ … :对目录进行遍历
往上翻:/…
利用exp进行拿shell(eweb5.5+iis6.0)
- 一般在admin目录下:admin/ewebitor
进行查找ewebeditor.asp/html (尽量用低版本的IE)
打开eweb5.5html,将图中这一段放到URL后面:
返回空页面:
复制地址,
修改粘贴到eweb5.5.html里的地址
打开eweb5.5html,上传图片马——检查——查找上传路径——拿shell
构造上传
下载数据库
发现ID为4的允许上传asp,然后直接调用,进行上传asa或者允许上传的脚本,然后拿shell.
三、其他类型编辑器利用
1.CKFinder(配合编辑器使用)
- 使用工具(御剑)扫描路径
- 去掉链接后面参数,然后访问
突破上传、抓包改包、截断、改名字都不行 - iis6.0,创建xx.asp文件夹,然后上传图片到文件夹内,然后就可以拿到shell
教程:https://blog.csdn.net/websinesafe/article/details/82215320
其他:
access多列查询