文件上传之文本编辑器上传漏洞

0x00 文本编辑器 常见的文本编辑器有CKEditor、eWebEditor、UEditor、KindEditor、xhEditor等,它们的功能类似且都有图片上传、视频上传、远程下载等功能,这类文本编辑器也称为富文本编辑器。 0x01 FCKeditor 下面以FCKeditor(现名为CKEditor)为例: 1、敏感信息暴漏 * 查看版本信息 /FCKeditor/editor/dialog/fck_about.html * 默认上传页面 /FCKeditor/editor/filemanager/browser/default/browser.html /FCKeditor/editor/filemanager/browser/default/connectors/test.html /FCKeditor/editor/filemanager/upload/test.html /FCKeditor/editor/filemanager/connectors/test.html /FCKeditor/editor/filemanager/connectors/uploadtest.html * 其他敏感文件 /FCKeditor/editor/filemanager/connectors/aspx/connector.html /FCKeditor/editor/filemanager/connectors/asp/connector.html /FCKeditor/editor/filemanager/connectors/php/connector.php 2、黑名单策略错误 FCKeditor<=2.4.3版本采用的是有弊端的黑名单策略,可以采用asa、cer等扩展名 3、任意文件上传漏洞 FCKeditor的2.4.2及以下本本的黑名单配置信息里没有定义类型Media,直接构造html表单就行, 在form中的action="http://22.22.22.22/fckeditor/editor/filemanager/upload/php/upload.php?Type=Media" 即可,然后上传 0x02 eWebEditor 1、默认后台 2.80以前为:ewebeditor/admin_login.asp 2.80以后为:admin/login.asp 2、默认账号密码 admin admin888 3、数据库地址 默认数据库地址 ewebeditor/db/ewebeditor.mdb 常用数据库地址 ewebeditor/db/ewebeditor.asa ewebeditor/db/ewebeditor.asa ewebeditor/db/#ewebeditor.asa ewebeditor/db/#ewebeditor.mdb ewebeditor/db/!@#ewebeditor.asp ewebeditor/db/ewebeditor1033.mdb asp asa为后缀的数据库下载下来后改为mdb Reference(侵删): http://navisec.it/编辑器漏洞手册/


文件上传漏洞常见绕过手法

0x00 一般防止上传漏洞手法 1、客户端检测:客户端使用JavaScript检测,在文件未上传时,就对文件进行验证 //任何客户端的验证都是不安全的,客户端验证目的是防止用户输入错误、减少 //服务器开销,而服务端验证才可以真正防御攻击者。 2、服务器端检测:服务端脚本一般会检测文件的MIME类型,检测文件扩展名是否合法 0x01 客户端检测 客户端验证代码形如下: <html lang="en"> <head> <meta charset="UTF-8"> <title>图片上传</title> <script type="text/javascript"> function checkFile(){ var flag = false; var str = document.getElementById("file").value; str = str.substring(str.lastIndexOf('.') + 1); var arr = new Array('png','bmp','gif','jpg'); for (var i=0;i<arr.length;i++){ if(str==arr[i]){ flag = true; } } if(!flag){ alert('文件不合法!'); } return flag; } </script> </head> <body> <form action="upload.php" method="post" onsubmit="checkFile()" enctype="multipart/form-data"> <input type="file" name="file" id="file" /><br/> <input type="submit" value="提交" name="submit" /> </form> </body> </html> 接收文件的脚本upload.


文件上传漏洞与文件解析漏洞

0x00 文件上传漏洞 当文件上传时,若服务端脚本语言未对上传的文件进行严格验证和过滤,若恶意用户上传恶意的 脚本文件时,就有可能控制整个网站甚至是服务器,这就是文件上传漏洞。 # 上传后得到的权限 1. 后台权限:登陆了后台,可以进行一些操作、配置 2. 网站权限:获得了webshell,可以进行查看源代码等操作 3. 服务器权限:可以对服务器进行任意操作 0x01 文件上传漏洞分类 1. 配置不当可直接上传shell HTTP的PUT方法开启了 2. 文件解析漏洞导致文件执行 Web容器解析漏洞 3. 本地文件上传限制被绕过 BurpSuite抓包修改即可绕过 4. 服务端过滤不严或被绕过 使用了黑名单过滤 5. 文件路径截断上传 00截断等 6. 开源编辑器上传漏洞 如CKEditor(FCKeditor的新版)、eWebEditor的漏洞 0x02 文件上传漏洞利用条件 1. 首先,上传的文件能够被web容器解释执行。所以文件上传后的目录要是web容器所覆盖到的路径 2. 其次,用户能从web访问这个文件 3. 最后,用户上传的文件若被安全检查、格式化、图片压缩等功能改变了内容,则可能导致攻击失败 0x03 文件上传漏洞挖掘 1. 查找上传点,如图片、附件、头像的上传等 2. 找类似upload的目录、类似upload.php的文件 3. 找编辑器目录,如eWebEdirot、fckeditor、kingeditor等 0x04 常见可执行文件后缀 可用于绕过: php php2 php3 php5 phtml asp aspx ascx ashx cer asa jsp jspx jspf 0x05 解析漏洞 文件上传漏洞通常与Web容器的解析漏洞配合利用 常见Web容器有IIS、Nginx、Apache、Tomcat等 0x06 IIS解析漏洞 IIS6.



可以返回顶部