常见编辑器漏洞汇总【超全】（转载）

前言:

原文链接：https://view.inews.qq.com/a/20210917A0FZ6K00

以前挖某站发现使用了编辑器,想用通用漏洞探一探,奈何当时无从下手,这件事就放到了我的心上,就去学习了此方面的知识,了解了一些思路,把编辑器漏洞汇总到了一起,分享给想要了解这方面漏洞的小伙伴
首先介绍什么是编辑器:编辑器是非常好用的网页在线编辑器，顾名思义就是让我们的用户可以在网页上进行文本的编辑,可以在网页上设置字体的样式段落行间距类似于用word编辑比较方便,并将工具生成得到的html样式插入到数据库中
其次如何查看使用的是什么编辑器:
我们可以右键，审查元素，查看js 文件和文件内容标识。如ueditor编辑器：

0x01 编辑器目录

ewebeditor
Ueditor
kindeditor
Fckeditor

0x02 ewebeditor 编辑器 漏洞集

漏洞（一）：关键路径(弱口令)

---

弱口令原理:弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令或简单的数字字母组合，例如“123456”、“admin”、“admin123”等，因为这样的口令很容易被别人破解，从而使用户的互联网账号受到他人控制，因此不推荐用户使用
关键路径：
Admin_Login.asp 登录页面
Admin_Default.asp 管理首页
Admin_Style.asp 样式页面
Admin_UploadFile.asp 上传文件页面
Upload.asp 上传文件业
Admin_ModiPwd.asp 密码
eWebEditor.asp 数据库文件
/db/ewebeditor.mdb 默认数据库路径
ewebeditor 2.8.0版本以前为默认后台 路径 ：
ewebeditor/admin_login.asp
以后版本默认后台 路径：
admin/login.asp,或admin/editor/login_admin.asp
图片

漏洞（二）：数据库路径泄露

---

若后台使用默认username和password无法登录。
可以试试直接下载…/db/ewebeditor.mdb或者…/db/ewebeditor.asp,
username和password在eWebEditor_System表中，经过了md5加密

漏洞（三）：目录遍历漏洞

---

目录遍历: 原理比较简单，就是程序在实现上没有充分过滤用户输入的…/之类的目录跳转符，导致恶意用户可以在url处通过目录跳转来遍历服务器上的任意文件。这里的目录跳转符可以是…/，也可是…/的ASCII编码或者是unicode编码等
1，选择上传文件管理，随意选择一个目录，输入路径：dir=…,可见
‍
目录下的文件

2，url如下

漏洞（四）：文件上传漏洞

---

文件上传漏洞原理:在有上传功能的系统中，如果应用程序没有对用户上传的文件做严格的校验，那么可能会导致用户上传脚本文件，然后用户再通过shell管理工具连接这些文件，来达到执行该脚本文件，从而控制服务器的目的。
常见验证方式:
(1)验证文件后缀.
黑名单验证即禁止指定的文件类型上传
(html | htm | php | php2 | hph3 | php4 | php5 | asp | aspx | ascx | jsp| cfm | bat | exe | com | dll | vbs | js | reg | cgi | htaccess | asis | sh)
白名单验证:仅允许指定的文件类型上传，比如仅允许上传jpg | gif | doc | pdf等类型的文件，其他文件全部禁止。
(2)验证content-type
如image/png 等等
(3)验证文件内容
验证文件中的危险函数如命令执行函数eval(),system(),可以自己写或找团队师傅找可绕过的木马文件
编辑图片样式管理,在图片类型那里添加asp允许上传asp的脚本文件，然后上传1.asp 即可

点击预览，上传图片，然后上传1.asp 即可

右键在新标签页打开图片,即可找到图片地址

漏洞（五）：SQL注入漏洞

---

注：默认表名：eWebEditor_System
默认列名：sys_UserName、sys_UserPass
1.ewebeditor以前版本都存在注入
2.2.7以下的版本注入
3.ewebeditor v2.1.6存在注入可以用union select添加上传后缀进行上传！
修改红色部分的路径，然后自动上传.cer文件！漏洞原因是因为sStyleName变量直接从style中读取，并没有过滤，所以可以包含任意字符！用select在ewebeditor_style表中查找s_name为sStyleName的记录，找不到就提示出错！在sStyleName变量中用union来构造记录，我们可以在sAllowExt中加入"|cer"、"|asa"等！
4.ewebeditor的upload.asp文件存在注入漏洞

漏洞（六）：session欺骗

---

asp版ewebeditor相关版本(5)
适用于一些设置不当的虚拟主机。当旁注得到一个webshell,而目标站存在ewebeditor却不能找到密码的时候可以尝试欺骗进入后台！
新建一个.asp文件，内容如下:然后访问这个文件，再访问ewebeditor/admin_default.asp！欺骗进入后台！不过很老了！
php版ewebeditor 3.8
php版本后台是调用…/ewebeditor/admin/config.php 文件
1，找到登陆后台
进入后台后随便输入一个用户和密码 必须是出错的时候，
然后这时候你清空浏览器的url,然后输入
后三次回车,
2 然后输入正常情况才能访问的文件…/ewebeditor/admin/default.php就可以进后台了

漏洞（七）：后台跳过认证漏洞

---

1.访问后台登陆页面！随便输入帐号密码，返回错误！
2.然后清空浏览器在地址栏输入
3.然后再清空地址栏，在路径里输入后台登陆后的页面，比如: admin_default.asp admin/default.asp等。

漏洞（八）：利用远程上传功能

---

1.打开编辑页面，然后图片，选择输入url比如:http://site.com/1.gif.asp!然后选择上传远程文件！自动就把1.gif.asp保存在上传目录内！(利用上面说的远程上传的方式！可以得到webshell！成功率取决于，虚拟主机的安全设置！)太老

漏洞（九）：任意文件删除

---

此漏洞存在于Example\NewsSystem目录下的delete.asp文件中
有几个版本的ewebeditor上传类型是在security.asp文件控制的！直接删除该文件可以上传任意webshell！

0x03百度Ueditor编辑器漏洞集

漏洞（一）：net.版本1.4.3文件上传

http://domain/controller.ashx?action=catchimage 参数为catchimage,
case:”catchimage”,这里会实例化类,在具体实现文件上传的类的方法里只验证了content-type类型
需准备一个图片马儿，远程shell地址需要指定扩展名为 1.gif?.aspx
采用远海在先知的漏洞说明
漏洞主要在controller.ashx 文件下
原因:
其第14行接收一个action参数

后端根据action值进行方法调用。且漏洞产生位置为catchimage（远程文件抓取）。

漏洞（二）：XML文件上传导致存储型XSS

---

上传路径如下
1，点击上传

上传内容如下
2，buprsuit抓包拦截
3，将uploadimage类型改为uploadfile，此时进方法为uploadfile,执行文件上传的操作,并修改文件后缀名为xml,最后复制上xml代码即可
4，访问listfile方法,http://domain/ueditor/php/controller.php?action=listfile即可查看文件的返回路径
5，访问上传的url文件,触发payload

漏洞（三）：SSRF漏洞

---

1.该漏洞存在于1.4.3的jsp版本中。但1.4.3.1版本已经修复了该漏洞。
已知该版本ueditor的ssrf触发点：
2.构造poc

漏洞（四）：上传存储型xss漏洞

---

1，没有过滤iframe2016-12-22
poc 如下

2，1.4.3版本
任意编辑内容，burp抓包替换如下即可

0x04kindeditor编辑器 漏洞集

漏洞（一）：任意文件上传(html)文件漏洞

---

影响版本如下:kindeditor版本
上传路径如下
修改content-type:text/plain 文件名为 html后缀即可

漏洞（二）：上传文件漏洞

---

影响版本：KindEditor 3.5.2~4.1
1.打开编辑器，将一句话改名为1.jpg 上传图片，打开文件管理，进入“down”目录，跳至尾页，最后一个图片既是我们上传的一句话

2.打开谷歌浏览器的 审查元素
jpg修改asp

漏洞（三）：上传解析漏洞

---

影响版本：
利用iis6.0 解析漏洞

漏洞（四）：列目录漏洞

---

版本：KindEditor 3.4.2KindEditor 3.5.5
访问 可以爆出绝对路径
爆出绝对路径
D:AppServ/www67cms/kindeditor/php/file_manager_json.php
这时将遍历d:/AppServ/www/67cms/下的所有文件和文件名

0x05Fckeditor编辑器 漏洞集

查看版本与文件上传地址
1.查看编辑器版本 fckeditor/_whatsnew.html
2.常用上传地址
3.FCKeditor中test 文件的上传地址
4.其他上传地址
一般很多站点都已删除_samples 目录，可以试试。
FCKeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。

漏洞（一）：任意文件上传

---

版本：php
在处理PHP 上传的地方并未对Media类型进行上传文件类型的控制，导致用户上传任意文件！

漏洞（二）：任意文件上传

---

[shell.php和shell.php+空格是2 个不同的文件未测试。继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制

漏洞（三）：列目录

---

影响版本：
1.修改CurrentFolder 参数使用 …/…/来进入不同的目录
2.根据返回的XML 信息可以查看网站所有的目录。
也可以直接浏览盘符：
JSP 版本：

漏洞（四）：爆路径漏洞

---

漏洞（五）：突破建立文件夹

---

漏洞（六）：FCKeditor被动限制策略所导致的过滤不严问题

---

影响版本: FCKeditor x.x
FCKeditor v2.4.3中File 类别默认拒绝上传类型：
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0
允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件
上传后它保存的文件直接
用的$sFilePath = $sServerDir . $sFileName
而在apache 下
因为”Apache 文件名解析缺陷漏洞”也可以利用之，另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码，其限制最为狭隘。
在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!

漏洞（六）：jsp任意上传

---

参考链接：
http://www.voidcn.com/article/p-aaraonso-bwy.html
https://xz.aliyun.com/t/8488
https://baijiahao.baidu.com/s?id=1633194896992314165&wfr=spider&for=pc