1.编辑器路径查找
2.FCK编辑器漏洞
3.EWEB编辑器漏洞
4.其他编辑器利用
介绍:
编辑器,配合解析漏洞利用
编辑器自身的漏洞利用
比源码自带的上传接口高,有专门人维护
博客:
wordpress
emlog
blog
论坛:
dz
企业网站:
dedecms
凉精,动易
这些写好的cms在发布文章可能会调用ewb/fck/kindeditor/ueditor编辑器
只需要搭建好的cms下载编辑器到指定目录打开接口就可以,引用第三方,就源码不一样,产生漏洞就不一样
源码本身没漏洞,编辑器可能有漏洞,是通过apache,iis来驱动的,一旦被拿到shell等于网站被拿到shell
网站没漏洞,就从编辑器入手,间接拿到shell
常见的编辑器:
ewebeditor
fck/
kindeditor/
ueditor
ckfinder
texteditor
首先
1.先确定编辑器
网站可能存在多个编辑器,有选项. 目录扫描,目录遍历,蜘蛛爬行
出现old bbs/这目录就是子站,子站可能又有编辑器//站中站老站编辑器漏洞多
端口搭建的站点,经常存在编辑器漏洞
扫描时候注意编辑器不一定在根目录下,可能会在二级目录下
改名:ewebeditor可能被改成,editor,edit,admin_editor
2.找编辑器对应版本漏洞
3.漏洞利用
PART 1: 编辑器路径查找
查找编辑器目录 (ppt)
目录扫描
目录遍历
蜘蛛爬行
注意事项:
查找路径时应注意站中站和子站的编辑器路径
如果进入后台查找编辑器未能正常显示的,可以利用审查元素搜索editor等关键字、或者
换低版本浏览器打开查看编辑器 打开工具里的ie6 ,兼容问题,老站点居多
漏洞利用
百度相关编辑器漏洞利用
查看编辑器版本-根据版本查找对应漏洞利用方法-漏洞利用
平时注意收集各种编辑器漏洞利用方法
实测:8001
探测编辑器:
扫描无字典扫描
出现:改名:ewebeditor可能被改成,editor,edit,admin_editor
ewebeditor编辑器
122.1.1.20:8001/admin/ewebeditor/asp/upload.asp //访问成功,确定是ewebeditor编辑器
122.1.1.20:8001/admin/ewebeditor/ewebeditor.asp
122.1.1.20:8001/admin/ewebeditor/ewebeditor.htm
122.1.1.20:8001/admin/ewebeditor/upload.asp
ewebeditor.asp/ewebeditor.htm/ewebeditor.html/upload.asp //辨别是否为ewebeditor编辑器.访问失败就是被删除了
实测试:8035 fck24编辑器
fckeditor编辑器如果没被篡改,一般放在根目录多一些,也可能放在admin目录,includem目录下 echosp cms就放在includem目录下
实测:8043 陶瓷科技有限公司
一级目录没有编辑器目录,值探测到myadmin
在探测二级目录:xxxxx:8035/myadmin //出现编辑器ewebeditor
编辑器上传图片后:
在编辑器里把图片变成代码,这时候就知道路径了
编辑器版本号查看:
栏目里寻找关于ewebeditor即可
fck编辑器攻击:
针对版本漏洞利用,不能高于2.6.4 .因为高版本3.x叫ckeditor
实战:fck配合解析漏洞利用
1:192.168.0.200:8035/FCKeditor/_whatsnew.html //列出版本 为2.4.3
2.用扫描工具扫出:FCKeditor/editor/fckeditor.html //找上传点找这种编辑器示例页面
3.找到示例页面--图片--url---浏览服务器---弹出上传接口的url //借助他来找上传接口
4.工具找法:漏洞利用FCK漏洞192.168.0.200:8035/fCKeditor/ 放进去找就行. //必须要找到FCKeditor/这个目录在放进去
5.iis6.0的目录解析,创建a.asp目录.上传图片马,右键审查元素找到路径直接查看是否解析.菜刀链接时候得指定为asp不能再是jpg
6.如果没有解析漏洞
上传图片burp抓包
原:filename=''1.jpg''
截断:filename=''1.asp%00jpg'' //选中%00 ctrl Shift+u go发送下
总结编辑器2.4版本:
1.配合解析漏洞
2.利用截断getshell
fck2.5版本 ip:8036
1.工具找接口
2.找到一张图片上传试试能不能正常上传
3.创建文件夹a.asp,右键检查有发现被改成a_asp
4.创建1.asp文件夹抓包,百分号2f后面添加2.asp ,放包 //属于创建递归
5.2.asp文件夹创建成功,里面1.asp变成1_asp //这样配合解析漏洞即可
6.上传1.asp%00jpg进行截断 //也可以试试1.asp%00.%00jpg 进行截断 阿里云截断依然会变成下划线.
总结编辑器2.5版本:
1.利用解析漏洞 递归创建a.asp/1.asp
2.利用00截断getshell
注意:上传后文件名变成a_asp 属于阿里云的还会封你ip
解决方法:换Ip上传,截断连发3个包
1.a_asp
2.a(1)_asp
3.a(1).asp //最后一个办法可以过掉阿里云 适用2.6.3以下的 2.6.4以上的就会重命名变成时间戳了
fck 2.6.3漏洞
192.168.200:8037 php站 2.6.0--2.6.3的php版本都可以
1.工具找接口
2.上传图片抓包
3.在url里 %2f后面加上a.php%00 %2fa.php%00 //这个截断不需要手动.会在当前目录下生成%00a.php目录/1.jpg
需要配合php特性.5.4和5.3php就可以
总结:2.6.0-2.6.3编辑器
%2fa.php%00截断
PART 3: EWEB编辑器漏洞--------------------------------------------------------------------
1.找后台-登录后台-修改上传类型-或者上传样式,直接getshell
eweb后台会在;
ewebeditor目录下;
admin/login.asp/php/jsp/aspx //后台地方
admin_login.asp/php/jsp/aspx
ddmin_style.asp/php.jsp/aspx //后台地方
想办法登录后台
1.尝试弱口令 admin/admin admin888/123123/123456/111111
2.爆破
3.下载默认数据库地址/ewebeditor/db/ewebeditor.mdb //尝试下载 //03 iis6 的版本可以下载,如果08以上的服务器禁止下载mdb文件
下载默认数据库地址/ewebeditor/db/%23ewebeditor.mdb //可能是
下载默认数据库地址/ewebeditor/db/data.mdb //也可能是
下载默认数据库地址/ewebeditor/db/db.mdb //还可能是
如果用工具找到了注入页面就用sqlmap跑
-u ''url'' --dump -T ewebeditor_system -C sys_username,sys_userpass
2.进不去后台,没后台,被修改.
通过遍历漏洞找网站数据库地址,下载网站数据库.解密,登录网站数据库getshell
百度查找编辑器对应漏洞利用
如果之前被别人上传过修改过上传类型,并且可以获取上传类型的样式id,构造上传getshell
找到后台
添加上传图片样式的时候改成asaspp //被叠加过的
工具栏--新增工具栏-新增按钮设置---插入上床的
目录遍历:
xxx/admin/editor/admin_uploadfile.asp?id=14 //有遍历
xxx/admin/editor/admin_uploadfile.asp?id=14&dir../../../
通过遍历漏洞找网站数据库进行getshell
8001站ewebeditor版本为5.5 在工具---常用文件---看清楚路径在改成asp末尾,访问一次,在打开该html文件,上传图片马,配合解析漏洞
还有就入后台,无法修改样式,就修改密码:
可以改密码就插马,但有个最大长度限制30
在新密码,密码处插入一句话 右键检测把字符改成3000就提交
链接admin/ewebeditor/asp/config.asp就行
CKFinder 任意文件上传漏洞
CKFinder是国外一款非常流行的所见即所得文字编辑器,其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件。CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传cracer_php;1.jpg 等畸形文件名,最终导致文件上传漏洞。
然后修改文件名
cracer.php;1.jpg
利用iis6.0目录解析漏洞拿shell
创建目录/x.asp/
在目录下上传图片马即可拿shell
扫描后把后面参数去掉
南方数据编辑器southidceditor
首先登陆后台
利用编辑器上传:
访问admin/southidceditor/admin_style.asp
修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.
南方数据编辑器southidceditor
通过upfile_other.asp漏洞文件直接取SHELL
直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用双文件上传
此方法通杀南方数据、良精系统、网软天下等
在Upfile_Photo.asp文件中
只限制了对”asp”,”asa”,”aspx”类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可
UEDITOR
利用II6.0文件名解析漏洞,上传图片改名为x.php;20160032342342.jpg获取shell
查看ppt