FCKeditor

　　FCKeditor编辑器页/查看编辑器版本/查看文件上传路径

　　FCKeditor编辑器页

　　FCKeditor/_samples/default.html

　　查看编辑器版本

　　FCKeditor/_whatsnew.html

　　查看文件上传路径

　　fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

　　XML页面中第二行 “url=/xxx”的部分就是默认基准上传路径

　　Note:[Hell1]截至2010年02月15日最新版本为FCKeditor v2.6.6

　　[Hell2]记得修改其中两处asp为FCKeditor实际使用的脚本语言

　　FCKeditor被动限制策略所导致的过滤不严问题

　　影响版本: FCKeditor x.x <= FCKeditor v2.4.3

　　脆弱描述：

　　FCKeditor v2.4.3中File类别默认拒绝上传类型：html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|

　　pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

　　Fckeditor 2.0 <= 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件

　　上传后 它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension为后缀

　　直接导致在win下在上传文件后面加个.来突破[未测试]

　　而在apache下，因为"Apache文件名解析缺陷漏洞"也可以利用之，详见"附录A"

　　另建议其他上传漏洞中定义TYPE变量时使用File类别来上传文件,根据FCKeditor的代码，其限制最为狭隘。

　　攻击利用:

　　允许其他任何后缀上传

　　利用2003路径解析漏洞上传网马

　　影响版本: 附录B

　　脆弱描述：

　　利用2003系统路径解析漏洞的原理，创建类似“bin.asp”如此一般的目录，再在此目录中上传文件即可被脚本解释器以相应脚本权限执行。

　　攻击利用:

　　fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

　　FCKeditor PHP上传任意文件漏洞

　　影响版本: FCKeditor 2.2 <= FCKeditor 2.4.2

　　脆弱描述：

　　FCKeditor在处理文件上传时存在输入验证错误，远程攻击可以利用此漏洞上传任意文件。

　　在通过editor/filemanager/upload/php/upload.php上传文件时攻击者可以通过为Type参数定义无效的值导致上传任意脚本。

　　成功攻击要求config.php配置文件中启用文件上传，而默认是禁用的。攻击利用: (请修改action字段为指定网址)：

　　FCKeditor 《=2.4.2 for php.html

　　Note:如想尝试v2.2版漏洞，则修改Type=任意值 即可，但注意，如果换回使用Media则必须大写首字母M,否则LINUX下，FCKeditor会对文件目录进行文件名校验，不会上传成功的。

　　TYPE自定义变量任意上传文件漏洞

　　影响版本: 较早版本

　　脆弱描述：

　　通过自定义Type变量的参数，可以创建或上传文件到指定的目录中去，且没有上传文件格式的限制。

　　攻击利用: /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp

　　打开这个地址就可以上传任何类型的文件了，Shell上传到的默认位置是:

　　http:///admin/southidceditor/admin/admin_login.asp

　　https://www.jb51.net/admin/southidceditor/popup.asp

　　bigcneditor(eWeb 2.7.5 VIP核心)

　　其实所谓的Bigcneditor就是eWebEditor 2.7.5的VIP用户版.之所以无法访问admin_login.asp，提示“权限不够”4字真言，估计就是因为其授权“Licensed”问题,或许只允许被授权的机器访问后台才对。

　　或许上面针对eWebEditor v2.8以下低版本的小动作可以用到这上面来.貌似没多少动作?

　　--------------------------------------------------------------------------------

　　Cute Editor

　　Cute Editor在线编辑器本地包含漏洞

　　影响版本:

　　CuteEditor For Net 6.4

　　脆弱描述：

　　可以随意查看网站文件内容，危害较大。

　　攻击利用:

　　https://www.jb51.net/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config

　　--------------------------------------------------------------------------------

　　Webhtmleditor

　　利用WIN 2003 IIS文件名称解析漏洞获得SHELL

　　影响版本：<= Webhtmleditor最终版1.7 (已停止更新)

　　脆弱描述/攻击利用：

　　对上传的图片或其他文件无重命名操作，导致允许恶意用户上传diy.asp;.jpg来绕过对后缀名审查的限制，对于此类因编辑器作者意识犯下的错误，就算遭遇缩略图，文件头检测，也可使用图片木马 插入一句话来突破。

　　--------------------------------------------------------------------------------

　　Kindeditor

　　利用WIN 2003 IIS文件名称解析漏洞获得SHELL

　　影响版本: <= kindeditor 3.2.1(09年8月份发布的最新版)

　　脆弱描述/攻击利用：

　　拿官方做个演示：进入upload/2010/3/201003102334381513.jpg 大家可以前去围观。

　　Note:参见附录C原理解析。

　　--------------------------------------------------------------------------------

　　Freetextbox

　　Freetextbox遍历目录漏洞

　　影响版本：未知

　　脆弱描述：

　　因为ftb.imagegallery.aspx代码中 只过滤了/但是没有过滤\符号所以导致出现了遍历目录的问题。

　　攻击利用:

　　在编辑器页面点图片会弹出一个框(抓包得到此地址)构造如下，可遍历目录。

　　https://www.jb51.net/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\..

　　--------------------------------------------------------------------------------

　　附录A：

　　Apache文件名解析缺陷漏洞：

　　测试环境:apache 2.0.53 winxp,apache 2.0.52 redhat linux

　　1.国外(SSR TEAM)发了多个advisory称Apache's MIME module (mod_mime)相关漏洞,就是attack.php.rar会被当做php文件执行的漏洞，包括Discuz!那个p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。

　　2.S4T的superhei在blog上发布了这个apache的小特性，即apache 是从后面开始检查后缀，按最后一个合法后缀执行。其实只要看一下apache的htdocs那些默认安装的index.XX文件就明白了。

　　3.superhei已经说的非常清楚了，可以充分利用在上传漏洞上，我按照普遍允许上传的文件格式测试了一下，列举如下(乱分类勿怪)

　　典型型:rar

　　备份型:bak,lock

　　流媒体型：wma,wmv,asx,as,mp4,rmvb

　　微软型:sql,chm,hlp,shtml,asp

　　任意型:test,fake,ph4nt0m

　　特殊型:torrent

　　程序型：jsp,c,cpp,pl,cgi

　　4.整个漏洞的关键就是apache的"合法后缀"到底是哪些，不是"合法后缀"的都可以被利用。

　　5.测试环境

　　a.php

　　
　　然后增加任意后缀测试,a.php.aaa,a.php.aab....

　　By cloie, in ph4nt0m.net(c) Security.

　　附录B：

　　安装了iis6的服务器(windows2003)，受影响的文件名后缀有.asp .asa .cdx .cer .pl .php .cgi

　　Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞，当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名)，此时此文件夹下的任何类型的文件(比如.gif，.jpg，.txt等)都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。如果这些网站中有任何一个文件夹的名字是以 .asp .php .cer .asa .cgi .pl 等结尾，那么放在这些文件夹下面的任何类型的文件都有可能被认为是脚本文件而交给脚本解析器而执行。

　　附录C：

　　漏洞描述：

　　当文件名为[YYY].asp;[ZZZ].jpg时，Microsoft IIS会自动以asp格式来进行解析。

　　而当文件名为[YYY].php;[ZZZ].jpg时，Microsoft IIS会自动以php格式来进行解析。

　　其中[YYY]与[ZZZ]处为可变化字符串。

　　影响平台：

　　Windows Server 2000 / 2003 / 2003 R2 (IIS 5.x / 6.0)

　　修补方法：

　　1、等待微软相关的补丁包

　　2、关闭图片所在目录的脚本执行权限(前提是你的某些图片没有与程序混合存放)

　　3、校验网站程序中所有上传图片的代码段，对形如[YYY].asp;[ZZZ].jpg的图片做拦截

　　备注：

　　对于Windows Server 2008(IIS7)以及Windows Server 2008 R2(IIS7.5) 则未受影响.