FckEditor编辑器上传漏洞getshel总结

一、环境搭建

在我的资源中下载: fckeditor编辑器上传——含有点变成下划线限制的源码包,下载后,使用IIS搭建即可。

二、漏洞复现突破.变_

访问目标网站,如下图所示:
在这里插入图片描述
通过遇见扫描,发现目标网站存在fckeditor编辑器
在这里插入图片描述
百度搜索fckeditor编辑器漏洞利用,找到参考链接:https://www.cnblogs.com/milantgh/p/3775396.html

按照链接中常用上传地址挨个进行测试
在这里插入图片描述
在这里插入图片描述
测试过程中发现第三个会弹窗提示,说明没有访问到上传目录,那么添加…/…/到文件上传目录
在这里插入图片描述
在这里插入图片描述
接下来,查看目标网站搭建平台,发现是IIS6.0,那么可以结合IIS6.0的解析漏洞进行利用
在这里插入图片描述
上传logo.asp;.x.jpg图片
在这里插入图片描述
成功上传,并查看页面源代码查找文件路径并进行访问
在这里插入图片描述
访问上传的文件后,发现是图片,并没有当作asp进行解析。而且文件名字变为了logo_asp;x.jpg,这是因为Fckeditor进行了上传限制
在这里插入图片描述

突破方法:

突破方法一(配合解析漏洞):二次上传

1
2
3
第一次上传 logo.asp;x.jpg ==>变成logo_asp;_x.jpg 
第二次 上传logo.asp;x.jpg ==>变成logo.asp;.x(1).jpg
12

再次上传logo.asp;x.jpg文件
在这里插入图片描述
虽然会提示,但不用理会,点击确定继续上传即可
在这里插入图片描述
之后成功上传,结果是logo_asp;_x(1).jpg,以前这种方法是可以的,但这个环境不可以,知道此方法就行
在这里插入图片描述

突破方法二(配合解析漏洞):创建文件夹

新建一个ceshi.asp文件夹并抓包查看HTTP请求头,如下图所示:
/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2F&NewFolderName=ceshi.asp&uuid=1607337224005
在这里插入图片描述
发现文件夹变成了ceshi_asp
在这里插入图片描述

接下里,直接访问当前文件夹并抓包查看HTTP请求头,如下图所示:
/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F&uuid=1607337266178
在这里插入图片描述
对比两个HTTP请求数据包不同的部分,发现只有后半部分不一样,第一个请求包多一个NewFolderName参数
&CurrentFolder=%2F&NewFolderName=ceshi.asp&uuid=1607337224005
&CurrentFolder=%2F&uuid=1607337266178

分析:
%2f也就是/ ,猜测
&CurrentFolder=/a/&NewFolderName=aaa.asp 会变成/a/aaa.asp

&CurrentFolder=/&uuid=1582206392524 就是/

那么猜测上传/q.asp/w.asp是否可以突破Fckeditor的限制
在这里插入图片描述
成功tupo,创建文件夹q.asp
在这里插入图片描述
因为程序只过滤了NewFolderName参数,没有对CurrentFolder参数进行过滤,那么我们就可以利用的CurrentFolder参数,通过CurrentFolder创建文件夹。
既然文件夹创建好了那么上传木马文件cus.asp,注意:将cus.asp后缀修改为cus.jpg,后再进行上传
在这里插入图片描述
在这里插入图片描述
之后访问上传的cus.jpg文件发现被当作asp文件进行了解析
在这里插入图片描述
使用菜刀成功连接
在这里插入图片描述

突破方法三(双重截断上传+二次上传):

此方法不配合解析漏洞
首先上传一个x.asp.asp.jpg文件,并且使用burpsuite拦截数据包
在这里插入图片描述
拦截数据包后将x.asp.asp.jpg修改为x.asp%00asp%00jpg
在这里插入图片描述
之后再将x.asp%00asp%00jpg中的%00进行URL解码,解码之后如下图所示,虽然显示什么也没有,但是已经解码
在这里插入图片描述
在这里插入图片描述
解码之后点击发送,提示你文件上传成功,文件名为x.asp__asp__jpg
在这里插入图片描述
数据包什么也不要修改,点击send再次发送,发现文件上传成功,文件名为:x(1).asp,成功突破限制
在这里插入图片描述
访问该文件,发现被成功解析,使用菜刀成功连接
在这里插入图片描述
在这里插入图片描述

转自:https://blog.csdn.net/weixin_40412037/article/details/110823562

作者

B0urne

发布于

2021-01-29

更新于

2021-02-24

许可协议