【渗透测试】--- FCKeditor文本编辑器漏洞

最新推荐文章于 2025-03-08 10:02:04 发布
最新推荐文章于 2025-03-08 10:02:04 发布
阅读量1.3w 收藏 19
点赞数 6
分类专栏: 渗透测试 文章标签: 信息安全 网路安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43168364/article/details/111605583
版权
本文详细介绍了FCKeditor(现称CKEditor)编辑器的常见敏感目录、利用方式以及实战案例。通过利用文件上传功能,可以发现文件解析路径漏洞,如在Windows 2003 + IIS6上创建Webshell。此外,通过修改Media类型,可在某些版本中上传任意文件。文中提供了一系列实战操作,包括上传asp.net大马文件并成功getshell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

FCKeditor编辑器漏洞

FCKeditor编辑器是一款强大的所见即所得文本编辑器,现在已经更名为:CKEditor

一、fckeditor的常见敏感目录(FCK有时要小写)

(1) 查看版本信息

  • 1 ---- /FCKeditor/editor/dialog/fck_about.html
  • 2 ---- /FCKeditor/_whatsnew.html
    在这里插入图片描述
    在这里插入图片描述

(2) 默认上传页面

  • FCKeditor编辑器默认会存在:test.htmluploadtest.html文件,直接访问这些文件可以获取当前文件夹文件名称 以及 上传文件。下面有五个常见的默认上传页面,在实战中可以进行尝试。

  • 1 ---- /FCKeditor/editor/filemanager/browser/default/browser.html ---- 在这个页面上传文件总是没有反应,并且无法新建目录
    在这里插入图片描述
    貌似是只有管理员权限才能新建目录
    在这里插入图片描述

  • 2 ---- /FCKeditor/editor/filemanager/browser/default/connectors/test.html
    在这里插入图片描述
    上传成功之后访问:/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 可以看到xml格式的数据
    在这里插入图片描述

  • 3 ---- /FCKeditor/editor/filemanager/upload/test.html
    在这里插入图片描述
    上传之后提示:没有错误
    在这里插入图片描述
    并且提示了上传的文件在:/UserFiles/apple.aspx中

最低0.47元/天 解锁文章
FCKeditor编辑器漏洞
谢公子的博客
04-07 4673
目录 FCKeditor asp网页 aspx网页 php网页 jsp网页 FCKeditor FCKeditor是一个功能强大支持所见即所得功能的文本编辑器,可以为用户提供微软office软件一样的在线文档编辑服务。它不需要安装任何形式的客户端,兼容绝大多数主流浏览器,支持ASP.Net、ASP、ColdFusion 、PHP、Java、Active-FoxPro、Lasso、P...
2024年最新fckeditor编辑器上传漏洞getshell——突破(1),2024物联网嵌入式开发不死我不倒
2401_85011796的博客
05-14 1771
百度搜索fckeditor编辑器漏洞利用,找到参考链接:https://www.cnblogs.com/milantgh/p/3775396.html,按照链接中常用上传地址挨个进行测试。访问上传的文件后,发现是图片,并没有当作asp进行解析。_x(1).jpg,以前这种方法是可以的,但这个环境不可以,知道此方法就行。接下来,查看目标网站搭建平台,发现是IIS6.0,那么可以结合IIS6.0的解析漏洞进行利用。测试过程中发现第三个会弹窗提示,说明没有访问到上传目录,那么添加…上传logo.asp;
fckeditor漏洞_三十,文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御
qq_50854662的博客
11-08 5194
fckeditor漏洞_三十,文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
最新发布
Python84310366的博客
03-08 752
最后,攻击者重新发送修改后的请求,以上传恶意文件。由于服务器认为上传的是JPEG图片,所以文件将被放行,即使上传的实际是一个可执行的PHP脚本,也将被视为正常的图片文件。type,即便上传一个“avatar.jpg”文件,实际上这是一个php脚本文件,攻击者成功绕过了文件类型检测机制,该文件会被服务器识别为php文件并执行其中的恶意代码。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
Ueditor、FCKeditor、Kindeditor编辑器漏洞
网安君的博客
01-27 6926
UEditor是由百度web前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点。Ueditor、FCKeditor、Kindeditor编辑器漏洞
FCK编辑器漏洞
weixin_30834019的博客
04-03 280
CKeditor漏洞多的要命,一堆堆的网站因为这种洞而牺牲了。 1. 查看编辑器版本 FCKeditor/_whatsnew.html ———————————————————————————————— 2. Version 2.2 版本 Apache+linux 环境下在上传文件后面加个.突破 测试通过。 3.Version <=2.4.2 For php 在处理PHP 上传的地...
FCKeditor编辑器上传漏洞
Jim的博客
09-09 2805
使用burpsuite上传几次发现解析错误,检测发现type=File 将type=Image,00截断成功
2024年【渗透测试--- FCKeditor文本编辑器漏洞_ckeditor漏洞,保洁阿姨看完都会了
2401_85013604的博客
05-14 2539
迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
fckeditor漏洞
07-27
- *2* [【渗透测试--- FCKeditor文本编辑器漏洞](https://blog.csdn.net/qq_43168364/article/details/111605583)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
漏洞复现篇——ewebeditor编辑器解析漏洞
爱国小白帽
02-18 4527
在线web编辑器,也叫做富文本 编辑器。 富文本编辑器,Rich Text Editor, 简称 RTE, 是一种可内嵌于浏览器,所见即所得的文本编辑器。 富文本编辑器不同于文本编辑器,程序员可到网上下载免费的富文本编辑器内嵌于自己的网站或程序里(当然付费的功能会更强大些),方便用户编辑文章或信息。比较好的文本编辑器有kindeditor,fckeditor等。 这样的程序,能够在网站上写文档的...
FCKeditor漏洞总结
01-24
FCKeditor漏洞总结。很全面!基本上FCK那些漏洞都在这里面!
FCKeditor漏洞
05-28
FCKeditor漏洞
WEB编辑器漏洞手册
06-25
FCKeditor是一款广泛使用的开源富文本编辑器。尽管功能强大,但其安全问题也不容小觑。 - **编辑器页面/查看编辑器版本/查看文件上传路径**:攻击者可以通过访问特定路径来获取FCKeditor的版本信息和其他敏感信息,...
ckeditor漏洞
01-17 8457
转自:http://www.netknight.in/archives/28/ 1、ckfinder上传漏洞ckfinder是一个AJAX的文件管理工具,配合ckeditor用于网站上传、管理文件。但是ckfinder/ckfinder.html页面,访问不需特别权限。利用在IIS6.0的环境下的解析漏洞可拿webshell。 2、ckeditor上传漏洞http://www....
FCKeditor漏洞分析:PHP项目中的富文本编辑器安全风险
nFOGug的博客
12-28 140
在网络开发领域,FCKeditor曾经是一款非常流行的富文本编辑器,在PHP项目中也被广泛使用。然而,它却存在一些漏洞,今天我们就来好好讲讲这些漏洞,结合我之前做的一个PHP项目,详细分析一下。FCKeditor简单介绍FCKeditor是一个功能强大的HTML文本编辑器
Fckeditor常见漏洞的挖掘与利用整理汇总
weixin_34410662的博客
05-10 319
  查看编辑器版本号 FCKeditor/_whatsnew.html ————————————————————————————————————————————————————————————— 2. Version 2.2 版本号 Apache+linux 环境下在上传文件后面加个.突破!測试通过。 ———————————————————————————————————...
速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用...
smellycat000的专栏
11-22 2893
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值