FCKeditor编辑器漏洞
FCKeditor编辑器
是一款强大的所见即所得文本编辑器,现在已经更名为:CKEditor
一、fckeditor的常见敏感目录(FCK有时要小写)
(1) 查看版本信息
- 1 ----
/FCKeditor/editor/dialog/fck_about.html
- 2 ----
/FCKeditor/_whatsnew.html
(2) 默认上传页面
-
FCKeditor编辑器默认会存在:
test.html
和uploadtest.html
文件,直接访问这些文件可以获取当前文件夹文件名称
以及上传文件
。下面有五个常见的默认上传页面,在实战中可以进行尝试。 -
1 ----
/FCKeditor/editor/filemanager/browser/default/browser.html
---- 在这个页面上传文件总是没有反应,并且无法新建目录
貌似是只有管理员权限才能新建目录
-
2 ----
/FCKeditor/editor/filemanager/browser/default/connectors/test.html
上传成功之后访问:/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
可以看到xml格式的数据
-
3 ----
/FCKeditor/editor/filemanager/upload/test.html
上传之后提示:没有错误