php fck编辑器拿shell,Fck编辑器漏洞

最新推荐文章于 2024-05-14 21:22:10 发布
最新推荐文章于 2024-05-14 21:22:10 发布
阅读量645 收藏 2
点赞数 1
文章标签: php fck编辑器拿shell

本来想写下Fck漏洞总结的, 写着写着就感觉不好组织语言了,其实这个漏洞存在的时间很久了,不过有时候在渗透测试项F目中,偶尔还是会遇到的,我就大概写一下吧,具体的大家可以查看我上传的资料,那里面讲的很仔细。

0x01.查看编辑器版本

/fckeditor/editor/dialog/fck_about.html

/FCKeditor/_whatsnew.html

0x02.寻找上传页面,其中默认的上传页面为

/FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/aspx/connector.aspx

在fck编辑器中,存在很多的上传页面,有些可以用,有些不可以用,这一步推荐大家使用扫描器配合下方的fck字典进行扫描查看具体的上传页面。

0x03.文件上传,并进行绕过

上传限制的突破方式很多,主要有:

抓包改扩展名(fck版本<=v2.4.3)

上传asa、cer、php2、php4、inc、pwml、pht后缀的文件

配合文件解析漏洞

shell.asp;.jpg

目录解析漏洞

/image/1.asp/1.jpg

文件%00截断

二次上传重命名绕过

其中FCK在上传了诸如shell.asp;.jpg的文件后,会自动将文件名改为shell_asp;.jpg。可以继续上传同名文件,文件名会变为shell.asp;(1).jpg

提交shell.php+空格绕过

最低0.47元/天 解锁文章
纳仁菜菜
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FCK 编辑器焦点问题
10-29
FCK编辑器是一款开源的富文本编辑器,广泛应用于网页内容编辑。在使用FCK编辑器时,常常会遇到焦点问题,特别是在页面加载时对编辑器进行赋值操作时。焦点问题主要涉及到两个核心点:延时处理和对DOM对象的赋值。 ...
Fck编辑器shell
椰树ii
04-29 3807
那天同学的QQ被黑发来的挂马网站手贱看了下。 用御剑扫描了一下。 有FCK编辑器。 但御剑扫出的url访问的页面不正常。 于是在网上查了查关于FCK编辑器的路径。 fckeditor/editor/filemanager/browser/default/browser.html?typeall&connector=connectors/aspx/connector.a
2024年【渗透测试】--- FCKeditor文本编辑器漏洞_ckeditor漏洞,保洁阿姨看完都会了
2401_85013604的博客
05-14 756
迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Ueditor、FCKeditor、Kindeditor编辑器漏洞
网安君的博客
01-27 6288
UEditor是由百度web前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点。Ueditor、FCKeditor、Kindeditor编辑器漏洞
FCK编辑器”解析漏洞突破检测上传后门漏洞
whatiwhere的博客
11-24 4558
实验环境 操作机: Windows XP 目标机:Windows 2003 目标网址:www.test.com - 实验目的 掌握FCK编辑器上传漏洞的利用 了解如何修复FCK编辑器上传漏洞 实验工具 中国菜刀:是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理,本次试验主要用到其动态脚本管理功能 实验内容 实验步骤 ...
ue编辑器漏洞_编辑器漏洞手册
weixin_39904612的博客
12-21 273
简介#2014年8月21日最初的手册版本,是由北洋贱队的各位朋友收集整理。时隔4年,我们再次整理了这些文件。目的是希望这种传统能延续下去。我们相信:星星之火可以燎原。希望大家能多提建议,完善这份手册。#2010年某月某日创建这样一个文档是为了能够使得众多需要得到帮助的人们,在她们最为困苦之时找到为自己点亮的那盏明灯,虽然这将揭示了某个寂静黑夜下一群躁动不安的人群.他们在享受快感,享受H4ck W0...
【渗透测试】编辑器漏洞
kali_Ma的博客
06-12 1465
FCKeditor FCKeditor 编辑器FCKeditor/_samples/default.htmlFCKeditor/_samples/default.htmlFCKeditor/_samples/asp/sample01.aspFCKeditor/_samples/asp/sample02.aspFCKeditor/_samples/asp/sample03.aspFCKeditor/_samples/asp/sample04.aspfckeditor/editor/filemanager/
常见编辑器漏洞
zdy8023的博客
03-26 6186
编辑器利用 查找编辑器目录 目录扫描 目录遍历 蜘蛛爬行 漏洞利用 百度相关编辑器漏洞利用 FCKeditor编辑器页/查看编辑器版本/查看文件上传路径 FCKeditor编辑器FCKeditor/_samples/default.html 查看编辑器版本 FCKeditor/_whatsnew.html 查看文件上传路径 fckeditor/edit...
FCKeditor编辑器漏洞
墨鱼菜鸡
04-07 184
目录 FCKeditor asp网页 aspx网页 php网页 jsp网页 FCKeditor FCKeditor是一个功能强大支持所见即所得功能的文本编辑器,可以为用户提供微软office软件一样的在线文档编辑服务。它不需要安装任何形式的客户端,兼容绝大多数主流浏览器,支持ASP.Net、...
22-任意文件上传与编辑器漏洞(Ewebeditor、fckeditor、CKFinder、southidceditor等)(五)
最新发布
XLbb的博客
05-14 1233
其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件,CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传1_php;确定有system_dntb/uploadimg.aspx并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具。:升级编辑器,实施严格的文件上传策略,禁用IIS不安全的文件解析功能。
fckeditor编辑器上传漏洞getshell——突破.变_的限制
W小哥
12-08 7942
访问目标网站,如下图所示: 通过遇见扫描,发现目标网站存在fckeditor编辑器 百度搜索fckeditor编辑器漏洞利用,找到参考链接:https://www.cnblogs.com/milantgh/p/3775396.html,按照链接中常用上传地址挨个进行测试 测试过程中发现第三个会弹窗提示,说明没有访问到上传目录,那么添加…/…/到文件上传目录 接下来,查看目标网站搭建平台,发现是IIS6.0,那么可以结合IIS6.0的解析漏洞进行利用 上传logo.asp;.x.jpg图片 成
JavaScript获取FCK编辑器信息的具体方法
10-27
JavaScript获取FCK编辑器信息的方法是开发者在处理富文本编辑器时经常遇到的需求。FCKeditor是一款曾经广泛应用的开源富文本编辑器,它允许用户在网页上进行类似Word的文本编辑,并能直接生成HTML代码。以下将详细...
FCK编辑器漏洞综合利用工具
03-07
"FCK编辑器漏洞综合利用工具"正是针对这种情况设计的,它主要用于检测和利用FCK编辑器中的已知安全漏洞。 首先,我们需要了解什么是漏洞。在计算机科学和网络安全领域,漏洞是指软件、操作系统或网络服务中存在的...
FCK编辑器漏洞利用工具
09-10
可以利用FCK编辑器漏洞的工具,具体利用方法见附件文档。
FCK编辑器 asp版 精简无错
11-15
**FCK编辑器ASP版精简无错** FCK编辑器是一款开源的Web富文本编辑器,主要用于在网页上提供类似Microsoft Word的编辑体验。它支持多种编程语言平台,包括ASP(Active Server Pages),使开发者能够轻松地在网页中...
FCK编辑器FCKEditor)添加新按钮和功能的修改方法
10-28
最近项目需要对已有的FCKeditor添加新的功能,以前的做法只是在外壳处再次封装,这次无法满足需求只能进行内部修改了。
FCK文本编辑器
09-03
**FCK文本编辑器**,全称为FCKeditor,是一款基于JavaScript开发的开源富文本编辑器,主要用于网页中实现类似Word的文本编辑功能。这款编辑器因其强大的功能、易用性和跨平台特性,在Web开发领域得到了广泛应用。在...
.net FCK编辑器 网站后台FCK编辑器
03-07
《.NET FCK编辑器:网站后台的高效文本编辑解决方案》 .FCKeditor,全称为“FCKeditor for .NET”,是一款广泛应用于网站后台的开源HTML文本编辑器,专为.NET平台设计。它以其易用性、功能强大和高度可定制性著称,...
解释一下FCK:editor标签的instanceName,basePath,toolbarSet
03-30
FCK是一个开源的富文本编辑器,用于在网页上创建、编辑和格式化文本内容。在使用FCK编辑器时,需要设置一些属性,其中包括instanceName、basePath和toolbarSet。 1. instanceName:该属性用于指定FCK编辑器实例的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值