伴随着这次Fckeditor新爆出来的一个漏洞,我来写个小总结,如有不全欢迎大家进行补充。仅关注上传漏洞,列目录、XSS什么的不在讨论之列。
1.ASP版
asp一般是搭在windows主机上,webserver一般为IIS6/IIS7/IIS7.5。具我现在所知,asp版的fckeditor已经可以全秒了
<2.4.x版本(也就是2.4.x及以下)的File参数时为黑名单验证,可以通过上传.asa,.cer,.asp;jpg(针对IIS6),如果asa、cer不被解析,还可以传.asp[空格],传的方法就是抓包,在数据包里的文件名后填个空格。
2.5.x和2.6.x:如果是IIS6.0 ,可以通过新建shell.asp文件夹方式的绕过。代码类似
Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Media&CurrentFolder=%2Fshell.asp&NewFolderName=z
复制代码然后往这个文件夹里传jpg,这个不多说了
如果是IIS7及以上,这种方法就傻逼了。这个时候可以借助刚爆出来的那种方法,先传shell.asp%00txt,然后再传一次。
至此、asp版本已经全秒了
2.aspx版
低版本同ASP版,2.6.x用刚爆出来的二次上传已经不好使了,不过新建test.asp的文件夹还可以使,一般IIS6.0会支持asp,可以先传个asp上去。然后再XX
3.php版
1.低版本(2.4.x及以下),仍然为黑名单验证,windows主机可以使用php[空格]传,2.4.3的有个media未设置导致任意文件上传可以秒linux。
2.2.5.x以后是白名单验证,仅能寄希望于wooyun里爆的那个<2.6.4的任意文件上传,成功率有限
3.2.6.4以上的php版,据我所知没戏。。求高人指点。我粗略的看了一下它的验证逻辑,表示没戏。windows里的敏感字符全给过滤了。。
大致这几种,欢迎补充交流。附一个python版的利用代码(写的比较早,新出的那个上传我还没实现),大家可以随便修改,但是修改后的无bug版请共享个、~
DownLoad: fck1.rar
利用方法很简单,参数为:http://xxx.com/xxx/fckeditor/,大家应该可以看懂的吧,我就不改了。
相关内容:
Fckeditor 漏洞最新整理、Fckeditor 漏洞利用总结、漏洞大全
FCKeditor 建立文件夹、上传文件时“.”变“_”的突破
留言评论(旧系统):