FCKeditor fla上传漏洞 妙杀IIS6、7(通杀2.5以下版本)
摘要:老思路: 第一步: 判断程序语言。 第二步: 查找解析环境。 第三步: 查找开源以及网络漏洞。 超克斯很快找到了存在FCK问题,那这就好解决了,大家都知道fck的漏洞网上爆了很多,加上IIS的解析漏洞完全可以秒杀。 但是很不幸的是这个站的IIS解析是IIS7.5 以...老思路:
第一步: 判断程序语言。
第二步: 查找解析环境。
第三步: 查找开源以及网络漏洞。
超克斯很快找到了存在FCK问题,那这就好解决了,大家都知道fck的漏洞网上爆了很多,加上IIS的解析漏洞完全可以秒杀。
但是很不幸的是这个站的IIS解析是IIS7.5 以及不存在了IIS 6 的畸形问题。
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=0184cf6c2fe5feb863022f27d03a9fec&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F092021Bc%2D0%2Ejpg
所以网上提出的什么上传图片马儿等问题全部失效了。
到这步我们进行查看一下fck版本吧。
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=794874a261a9942a958534dbbd690f08&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F092021O54%2D1%2Ejpg
很好,到这步开始我们我们就想办法查找,我是新手玩渗透,但是我相信只要是程序一定有漏洞。 这个版本是低级的,已经又高版本FCK了,如果我们要想渗透一套开源程序,特别是有升级版本的开源程序,只要你仔细考虑一定有漏洞。
一个公司的产品升级 有两方面: 一方面是 程序的应用性 另一方面是程序的安全性。如果你发现这套程序升级了 大部分存在安全性问题。
在这个程序上, 的确存在上传图片马儿,根据IIS6.0 解析漏洞 直接访问马儿就行了,遇到这个没有解析的IIS7.5 你就别想着这个招了。
当时我看到编辑器页面我的直觉告诉我,这个地方应该是个突破口,然后我就想如何进行直接上传文件,绕过文件类型验证,功夫不负有心人,我挖到一个可以秒杀低版本的漏洞,给大家演示一下。
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=fcaf3e83dcce2646a6e901527a5dead5&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F09202149C%2D2%2Ejpg
看到这块大家应该猜到了,这块在程序上前段进行类型上传验证了,我传了 fla 格式的文件可以成功,其他的不行了,我用火狐fixdebug 绕过验证试试。
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=b52cd1593dd48f556a693fbc6e0e22e9&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F0920216495%2D3%2Ejpg
把这块代码直接去掉 然后点击发送到服务器就可以传上去了再看看效果,
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=6780f1da25384c47deec0fdd2a926155&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F0920213104%2D4%2Ejpg
好了这里发送完后路径直接返回过来了,我们可以直接复制那个路径去浏览器执行
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=00e47a71275dd75d0e036c9931cf0831&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F0920213057%2D5%2Ejpg
成功了
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=714dc8501553970de9f4b9b4133b3273&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F0920214417%2D6%2Ejpg
而且把代码下载下来 直接也可以进行远程提交,再提交页面直接查看源代码,里面就有路径,这个代码保存成 html 把网站改一下,可以直接传你的马儿
<form id="frmUpload" method="post" target="_blank" enctype="multipart/form-data" action="http://网址/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Flash" >
<span fcklang="DlgLnkUpload">上传</span><br>
<input id="txtUploadFile" style="WIDTH: 100%" size="40" name="NewFile" type="file"><br>
<br>
<input id="btnUpload" value="发送到服务器上" fcklang="DlgLnkBtnUpload" type="submit">
</form>
测试效果如下:
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=8304f279b9a6db94da4049a7c496a30e&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F0920215N1%2D7%2Ejpg
上传完后,弹出新页面是空白,只要从源代码查看路径一览无遗
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=b1b1f6c93d3ca60eab74dcda70a2af6c&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F0920212353%2D8%2Ejpg
总结 到目前为止,只要存在 fck 2.5 以下的程序 不用在判断 IIS 了,可以直接传大马。 如果 超越2.5 就要用另外一种手段了,我在写一个程序工具针对FCK+IIS的 回头我写好了分享给大家,先看思路吧。
先展示一下程序的页面样式:
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=ba5721fda569cfcdb39c389c45657f52&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F0920214334%2D9%2Ejpg
http://tc2.baidu-1img.cn/timg?pa&quality=100&size=w4096&sec=1468778491&di=94f32f923e5e6c79fe9bb7a4c103b400&ref=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fa%2Fsecurity%2Fweb%2Fjbst%2F2012%2F1114%2F11908%2Ehtml&src=http%3A%2F%2Fwww%2Eyunsec%2Enet%2Fuploads%2Fallimg%2F121114%2F0920213I4%2D10%2Ejpg
先看一下完成部分功能了,这今天完善好分给大家。
页:
[1]