人不可能十全十美,十分能耐使七分,留下三分给儿孙。
俗话说得好
FCKeditor_v2.4.3
1、前言
常见的文本编辑器如FCKeditor、Ewebeditor、UEditor、KindEditor、XHeditor等,因其包含有文件上传接口,导致经常出现安全缺陷。
这里主要对 FCKeditor 编辑器的历史文件上传漏洞做复现。
2、FCKeditor常用上传地址
fckeditor/editor/filemanager/connectors/test.html
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/browser/default/connectors/test.html
fckeditor/editor/filemanager/connectors/uploadtest.html
3、漏洞复现
下载 FCKeditor_2.4.3 源码,用 phpstudy 搭建。
通过以下路径可查看编辑器的版本
① fckeditor/_whatsnew.html
② fckeditor/editor/dialog/fck_about.html