编辑器漏洞

一、常见的编辑器:

常见的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。

二、Ewebeditor编辑器漏洞:

Ewebeditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框<TEXTAREA>替换为可视化的富文本输入框,使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具!

Ewebeditor利用核心:

默认后台:www.xxxx.com/ewebeditor/admin_login.asp

默认数据库:ewebeditor/db/ewebeditor.mdb

默认账号密码:admin admin/admin888

利用过程:

1、首先访问默认管理页看是否存在;

注:默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp(其他语言改后戳,这里以asp为例) 。

2、尝试默认管理账号密码:(admin\admin)

默认管理页存在!我们就用帐号密码登陆!默认帐号密码为: admin admin888 !常用的密码还有admin admin999 admin1 admin000 之类的。

成功登陆后台

3、默认数据库地址:

如果后台管理密码不是默认的。我们访问的就不是默认数据库!尝试下载数据库得到管理员密码!管理员的帐号密码,都在eWebEditor_System表段里,sys_UserName Sys_UserPass 都是md5加密的。得到了加密密码。可以去MD5解密等网站进行查询!

注:默认数据库路径为:ewebeditor/db/ewebeditor.mdb 常用数据库路径为:

ewebeditor/db/ewebeditor.asa

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp

ewebeditor/db/ewebeditor1033.mdb 等等。

尝试访问默认路径下载数据库
md5加密后的账号密码存在

注:很多管理员常改.asp后缀,一般访问.asp .asa 后缀的都是乱码!可以用下载工具(迅雷)下载下来,然后更改后缀为.mdb来查看内容!

4、漏洞基本利用步骤,以asp为例!

①、登陆后台以后。

选择样式管理,默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式,然后在图片上传添加可上传后缀。.asa .cer .cdx 等!.asp 过滤过了。但是我们可以用.aaspsp后缀来添加,这样上传文件正好被ewebeditor 吃掉asp后缀,剩下.asp 。同样,如果遇到一个管理员有安全意识的,从代码里,把.asp .asa .cer .cdx 都完全禁止了,我们也可以用.asasaa 后缀来突破。添加完了后缀,可以在样式管理,点击预览,然后上传! asa|cer|asp|aaspsp Asa cer 它可以在iis6.0平台解析为asp执行 Aaspsp:绕过过滤 过滤asp aaspsp=》asp 注意:低版本ewebeditor不支持ie7.0以下版本访问(ietest软件模拟ie6.0上传) 以下以2.1.6这个版本为例来演示: 点击样式管理,然后新增样式;



点击提交
样式增加成功

然后在工具栏里新增工具


然后点击保存设置。然后再回去点击预览。

浏览器版本太高功能不能使用,换为低版本浏览器

控件效果就出来了。然后直接上传木马(我这里上传的为cer后缀的大马):


点击确定,上传成功,之后,查看代码,就能看到完整的地址:

上传后文件的路径及文件名

用菜刀获浏览器一连就能就OK了。。。

密码Skull.
成功连接

5、通过目录遍历漏洞



&dir=../

发现没有起作用,那就是2.1.6这个版本不存在这个漏洞。换成2.8.0。2.8.0存在这个漏洞。

2.1.6版本


搭建换成2.8.0版本


可以遍历目录

6、寻找前人痕迹再次入侵

有时候用户名与密码登不进去,但是数据库可以下载,这时候就可以看下是否有前人入侵过,如果有人入侵过的话,就可以利用下面的方法进入突破。

如何判断有前人入侵过了??下载好数据库之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。


重新下载数据库文件可以看到添加的样式tessst

使用下面的语句进入突破:

ewebeditor.asp?ID=xx&style=yy;其中的id=xx就是被修改过的那条记录的id,而yy就是S_name字段的名字。

http://192.168.0.105/ewebeditor.asp?ID=36&style=tessst

利用此样式上传木马文件,然后攻击者进行连接

该链接指向前人创建的样式,通过该样式上传自己的木马然后再连接即可!!

7、文件上传漏洞

注入2.1.6ewebeditor编辑器。如下保存为html文件修改action,直接上传cer马。


url为文件上传路径,根据个人情况更改


保存后打开为此界面,直接上传cer马,查看网页源代码获取文件上传后的文件名,然后是用菜刀等工具链接

三、Fckeditor编辑器

可以去这下载编辑器:http://download.csdn.net/detail/u011781521/9767326,自己安装环境进行测试;

(一)、查看fckeditor版本信息:

获取版本信息后可以去网上查找对应版本的漏洞进行利用:


部分公开漏洞

(二)、FCKeditor编辑器页面

默认页面:_samples/default.html


(三)、常用上传地址:

不同版本常用上传地址:

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

由于这里用的是2.5的版本所以下面这条语句能用

http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp


文件上传页面,默认情况下路径不会被改变

注意:如果在输入以上地址测试的过程中弹出以下的提示:

(四)文件上传

那就是没有开启文件上传功能,要把\editor\filemanager\connectors\asp\config.asp文件中的“DimConfigIsEnabled”

ConfigIsEnabled= False,设置成功true。就行了,然后上传2.asp;.jpg文件试试


上传文件名为2.asp;.jpg,但是上传后被更改为2_asp;(1).jpg,把点改为了下划线,审查元素看下图片的路径。

http://192.168.0.105/userfiles/image/2_asp;(1).jpg访问这个路径看下。

图片没有被解析

这就是fckeditor过滤"."为"_"的一个机制,想要突破的话有以下两种方式:

①:二次上传

第一次上传:qq.asp;.jpg ==》qq_asp;.jpg

第二次上传:qq.asp;.jpg ==》qq_asp;.jpg (不满足命名要求)

可能出现第二次命名为 qq.asp;.(1).jpg

②:新建上传:

手动创建一个文件夹fenduo.asp


同样的“.”被替换为“_”

发现他还是过滤了!!那我们只有突破建立文件夹了。

执行以下地址就能成功创建文件夹

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=xx.asp


number=0说明文件夹创建成功


文件夹创建成功

这又是为什么了????手动不能创建,而通过以上地址就能成功创建了,让我们来对比下,手动创建和通过以上地址创建的一个区别。

漏洞地址:

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp

手工新建:

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

漏洞产生原因:

CurrentFolder:当前文件夹;未进行过滤(这个文件夹下的没有过滤),简言之,系统会认为这时已经存在的文件夹而不进行过滤,所以此处存在漏洞,不对CurrentFolder函数进行过滤。

NewFolderName:新建文件名;进行了过滤,这就是为什么通过上面地址能创建,而手动却不能创建的一个原因,然后我们再上传6.asp;.jpg到fendo.asp文件下看是否成功解析。

上传成功,但文件名依旧为6_asp;.jpg


右键审查元素得到路径

构造url连接,图片被当做asp文件解析!!

.asp文件夹下的文件都会被当做asp文件解析

四、CKFinder

任意文件上传漏洞

原理:

其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件,CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传1_php;1.jpg等畸形文件名,最终导致文件上传漏洞。

利用过程:

修改文件名为:1_php;1.jpg

利用iis6.0目录解析漏洞拿shell

创建目录/x.asp/

在目录下上传图片马即可拿shell

五、南方数据编辑器southidceditor

利用过程:

首先登陆后台

利用编辑器上传

访问admin/southidceditor/admin_style.asp

修改编辑器样式,增加asa(不要asp),然后直接后台编辑新闻上传

六、UEDITOR富文本编辑器

利用过程:

利用ii6.0文件名解析漏洞

上传图片改名为

x.php;20221.jpg获取shell

DotNetTextBox编辑器漏洞

关键字:system_dntb/

确定有system_dntb/uploadimg.aspx并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具

cookie:UserType=0;IsEdition=0;Info=1;

uploadFolder=../system_dntb/Upload/;

路径可以修改,只要权限够,上传后改名为1.asp;.jpg利用iis解析漏洞

七、PHPWEB网站管理系统后台Kedit编辑器

两种利用方式:

第一种:

利用iis6.0文件名解析漏洞上传文件名为xx.php;xx.jpg格式文件;

第二种方式:

%00截断(00截断解析

xx.php%00jpg

八、Cute Editor 在线编辑器本地包含漏洞

影响版本:Cute Editor For Net 6.4

脆弱描述:可以随意查看网站文件内容,危害较大

攻击利用:http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,921评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,635评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,393评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,836评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,833评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,685评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,043评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,694评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,671评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,670评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,779评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,424评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,027评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,984评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,214评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,108评论 2 351
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,517评论 2 343