• 17.编辑器


    1.编辑器路径查找
    2.FCK编辑器漏洞
    3.EWEB编辑器漏洞
    4.其他编辑器利用

    介绍:
    编辑器,配合解析漏洞利用
    编辑器自身的漏洞利用
    比源码自带的上传接口高,有专门人维护

    博客:
    wordpress
    emlog
    blog

    论坛:
    dz

    企业网站:
    dedecms
    凉精,动易

    这些写好的cms在发布文章可能会调用ewb/fck/kindeditor/ueditor编辑器
    只需要搭建好的cms下载编辑器到指定目录打开接口就可以,引用第三方,就源码不一样,产生漏洞就不一样

    源码本身没漏洞,编辑器可能有漏洞,是通过apache,iis来驱动的,一旦被拿到shell等于网站被拿到shell
    网站没漏洞,就从编辑器入手,间接拿到shell

    常见的编辑器:
    ewebeditor
    fck/
    kindeditor/
    ueditor
    ckfinder
    texteditor

    首先
    1.先确定编辑器
    网站可能存在多个编辑器,有选项. 目录扫描,目录遍历,蜘蛛爬行
    出现old bbs/这目录就是子站,子站可能又有编辑器//站中站老站编辑器漏洞多
    端口搭建的站点,经常存在编辑器漏洞
    扫描时候注意编辑器不一定在根目录下,可能会在二级目录下
    改名:ewebeditor可能被改成,editor,edit,admin_editor
    2.找编辑器对应版本漏洞
    3.漏洞利用

    PART 1: 编辑器路径查找
    查找编辑器目录 (ppt)
    目录扫描
    目录遍历
    蜘蛛爬行
    注意事项:
    查找路径时应注意站中站和子站的编辑器路径
    如果进入后台查找编辑器未能正常显示的,可以利用审查元素搜索editor等关键字、或者
    换低版本浏览器打开查看编辑器 打开工具里的ie6 ,兼容问题,老站点居多
    漏洞利用
    百度相关编辑器漏洞利用
    查看编辑器版本-根据版本查找对应漏洞利用方法-漏洞利用
    平时注意收集各种编辑器漏洞利用方法


    实测:8001
    探测编辑器:
    扫描无字典扫描
    出现:改名:ewebeditor可能被改成,editor,edit,admin_editor
    ewebeditor编辑器
    122.1.1.20:8001/admin/ewebeditor/asp/upload.asp //访问成功,确定是ewebeditor编辑器
    122.1.1.20:8001/admin/ewebeditor/ewebeditor.asp
    122.1.1.20:8001/admin/ewebeditor/ewebeditor.htm
    122.1.1.20:8001/admin/ewebeditor/upload.asp
    ewebeditor.asp/ewebeditor.htm/ewebeditor.html/upload.asp //辨别是否为ewebeditor编辑器.访问失败就是被删除了

    实测试:8035 fck24编辑器
    fckeditor编辑器如果没被篡改,一般放在根目录多一些,也可能放在admin目录,includem目录下 echosp cms就放在includem目录下

    实测:8043 陶瓷科技有限公司
    一级目录没有编辑器目录,值探测到myadmin
    在探测二级目录:xxxxx:8035/myadmin //出现编辑器ewebeditor

    编辑器上传图片后:
    在编辑器里把图片变成代码,这时候就知道路径了

    编辑器版本号查看:
    栏目里寻找关于ewebeditor即可

    fck编辑器攻击:
    针对版本漏洞利用,不能高于2.6.4 .因为高版本3.x叫ckeditor

    实战:fck配合解析漏洞利用
    1:192.168.0.200:8035/FCKeditor/_whatsnew.html //列出版本 为2.4.3
    2.用扫描工具扫出:FCKeditor/editor/fckeditor.html //找上传点找这种编辑器示例页面
    3.找到示例页面--图片--url---浏览服务器---弹出上传接口的url //借助他来找上传接口
    4.工具找法:漏洞利用FCK漏洞192.168.0.200:8035/fCKeditor/ 放进去找就行. //必须要找到FCKeditor/这个目录在放进去
    5.iis6.0的目录解析,创建a.asp目录.上传图片马,右键审查元素找到路径直接查看是否解析.菜刀链接时候得指定为asp不能再是jpg
    6.如果没有解析漏洞
    上传图片burp抓包
    原:filename=''1.jpg''
    截断:filename=''1.asp%00jpg'' //选中%00 ctrl Shift+u go发送下

    总结编辑器2.4版本:
    1.配合解析漏洞
    2.利用截断getshell


    fck2.5版本 ip:8036
    1.工具找接口
    2.找到一张图片上传试试能不能正常上传
    3.创建文件夹a.asp,右键检查有发现被改成a_asp
    4.创建1.asp文件夹抓包,百分号2f后面添加2.asp ,放包 //属于创建递归
    5.2.asp文件夹创建成功,里面1.asp变成1_asp //这样配合解析漏洞即可
    6.上传1.asp%00jpg进行截断 //也可以试试1.asp%00.%00jpg 进行截断 阿里云截断依然会变成下划线.

    总结编辑器2.5版本:
    1.利用解析漏洞 递归创建a.asp/1.asp
    2.利用00截断getshell

    注意:上传后文件名变成a_asp 属于阿里云的还会封你ip
    解决方法:换Ip上传,截断连发3个包
    1.a_asp
    2.a(1)_asp
    3.a(1).asp //最后一个办法可以过掉阿里云 适用2.6.3以下的 2.6.4以上的就会重命名变成时间戳了


    fck 2.6.3漏洞
    192.168.200:8037 php站 2.6.0--2.6.3的php版本都可以
    1.工具找接口
    2.上传图片抓包
    3.在url里 %2f后面加上a.php%00 %2fa.php%00 //这个截断不需要手动.会在当前目录下生成%00a.php目录/1.jpg
    需要配合php特性.5.4和5.3php就可以


    总结:2.6.0-2.6.3编辑器
    %2fa.php%00截断

    PART 3: EWEB编辑器漏洞--------------------------------------------------------------------

    1.找后台-登录后台-修改上传类型-或者上传样式,直接getshell
    eweb后台会在;
    ewebeditor目录下;
    admin/login.asp/php/jsp/aspx //后台地方
    admin_login.asp/php/jsp/aspx
    ddmin_style.asp/php.jsp/aspx //后台地方

    想办法登录后台
    1.尝试弱口令 admin/admin admin888/123123/123456/111111
    2.爆破
    3.下载默认数据库地址/ewebeditor/db/ewebeditor.mdb //尝试下载 //03 iis6 的版本可以下载,如果08以上的服务器禁止下载mdb文件
    下载默认数据库地址/ewebeditor/db/%23ewebeditor.mdb //可能是
    下载默认数据库地址/ewebeditor/db/data.mdb //也可能是
    下载默认数据库地址/ewebeditor/db/db.mdb //还可能是
    如果用工具找到了注入页面就用sqlmap跑
    -u ''url'' --dump -T ewebeditor_system -C sys_username,sys_userpass

    2.进不去后台,没后台,被修改.
    通过遍历漏洞找网站数据库地址,下载网站数据库.解密,登录网站数据库getshell
    百度查找编辑器对应漏洞利用
    如果之前被别人上传过修改过上传类型,并且可以获取上传类型的样式id,构造上传getshell


    找到后台
    添加上传图片样式的时候改成asaspp //被叠加过的
    工具栏--新增工具栏-新增按钮设置---插入上床的

    目录遍历:
    xxx/admin/editor/admin_uploadfile.asp?id=14 //有遍历
    xxx/admin/editor/admin_uploadfile.asp?id=14&dir../../../
    通过遍历漏洞找网站数据库进行getshell


    8001站ewebeditor版本为5.5 在工具---常用文件---看清楚路径在改成asp末尾,访问一次,在打开该html文件,上传图片马,配合解析漏洞


    还有就入后台,无法修改样式,就修改密码:
    可以改密码就插马,但有个最大长度限制30
    在新密码,密码处插入一句话 右键检测把字符改成3000就提交
    链接admin/ewebeditor/asp/config.asp就行


    CKFinder 任意文件上传漏洞
    CKFinder是国外一款非常流行的所见即所得文字编辑器,其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件。CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传cracer_php;1.jpg 等畸形文件名,最终导致文件上传漏洞。
    然后修改文件名
    cracer.php;1.jpg
    利用iis6.0目录解析漏洞拿shell
    创建目录/x.asp/
    在目录下上传图片马即可拿shell

    扫描后把后面参数去掉


    南方数据编辑器southidceditor
    首先登陆后台
    利用编辑器上传:
    访问admin/southidceditor/admin_style.asp
    修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.


    南方数据编辑器southidceditor
    通过upfile_other.asp漏洞文件直接取SHELL
    直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用双文件上传
    此方法通杀南方数据、良精系统、网软天下等

    在Upfile_Photo.asp文件中
    只限制了对”asp”,”asa”,”aspx”类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可


    UEDITOR
    利用II6.0文件名解析漏洞,上传图片改名为x.php;20160032342342.jpg获取shell
    查看ppt


  • 相关阅读:
    on和where的区别
    分组查询 group by having 排序 order by asc(升序)或desc(降序)
    连接查询 left join on, union
    md5加密方法
    where查询条件的指定,between and,in,like
    Mapnix(转) Anny
    Rolebased access control(RBAC) Anny
    TestComplete如何识别对象(转) Anny
    Jira workflow Anny
    crx文件 Anny
  • 原文地址:https://www.cnblogs.com/fanghan/p/13899448.html
Copyright © 2020-2023  润新知