網(wǎng)站安全攻與防的啟示錄(6)

利用FCKeditor編輯器漏洞獲取WEBshell

現(xiàn)在打開網(wǎng)站先注冊(cè)一個(gè)會(huì)員賬戶testweb,在用戶管理中信——投稿管理——發(fā)布稿件的地方發(fā)現(xiàn)該網(wǎng)站使用了一款名為FCKeditor在線編輯器。FCKeditor是一款在線編輯器，能夠在線進(jìn)行文字和圖片的編輯等工作，通常會(huì)作為一個(gè)編輯部件嵌入其他的一些程序中。我們平時(shí)泡論壇，寫博客，經(jīng)常可以在網(wǎng)頁(yè)中對(duì)我們的文字或圖片進(jìn)行簡(jiǎn)單的編輯。FCKeditor的應(yīng)用十分廣泛，但是漏洞也非常多。

現(xiàn)在來(lái)測(cè)試下FCKeditor最為普遍的上傳漏洞。打開圖片上傳選項(xiàng)，然后選擇準(zhǔn)備好的JSP木馬上傳，發(fā)現(xiàn)被禁止上傳圖片文件格式以外的文件。不過(guò)它在上傳文件判斷的時(shí)候采用的是本地驗(yàn)證后綴名方式，所以攻擊者可以通過(guò)代理工Burpsuitepro來(lái)進(jìn)行上傳，先修改JSP木馬的后綴為JPG圖片格式，比如把1.jsp改為2.jpg；然后Burpsuitepro抓包阻斷上傳的內(nèi)容，把上傳的2.jpg再改回1.jsp，從而繞過(guò)網(wǎng)站編輯器本地驗(yàn)證的過(guò)程，成功上傳文件得到一個(gè)Webshell。

 圖 利用工具抓包修改上傳內(nèi)容

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]