目的:Fckeditor为在线网页编辑器。本实验演示Fckeditor2.4.2以下版本的一个编辑器上传漏洞。

原理:Fckeditor在2.4.2以下存在一个直接上传任意文件的上传页面,可直接上传webshell。

过程:

打开网站http://ip:8001/fckeditor,判断是否有fckeditor编辑器,出现403禁止访问,说明此目录存在

判断fckeditor编辑器版本号,输入http://ip:8001/FCKeditor/_whatsnew.html,返回页面可知fckeditor版本为2.0

此版本的fckeditor存在两个上传漏洞页面:
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=zhang&CurrentFolder=/

第一个页面实在网站根目录下的userfiles目录下的Image目录下打开一个上传页面,上传的文件都保存在这个目录下,第二是在网站跟了目录下创建一个zhang目录

http://ip:8001/FCKeditor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

先上传一个正常图片并查看返回结果,上传图片为1.jpg

重新上传一个asp一句话,不允许上传

尝试使用00截断的方法再次上传,打开burpsuite

火狐浏览器设置代理,为127.0.0.1:8080

返回浏览器,重新上传文件,burp抓取到刷新的数据包,多次点击forward,直到浏览器显示页面

切换到浏览器,将2.asp改为2.asp.jpg,并上传

此时burp会拦截上传的数据包

点击HEX,切换hex模式,修改此处内容

2e修改为00

切换为raw,点击forward,发送请求,再次刷新上传页面,发现asp文件已经上传成功