一讨勤、常見(jiàn)的編輯器：

常見(jiàn)的有Ewebeditor购裙，fckeditor链嘀，ckeditor，kindeditor等等档玻。

二怀泊、Ewebeditor編輯器漏洞：

Ewebeditor是基于瀏覽器的、所見(jiàn)即所得的在線(xiàn)HTML編輯器误趴。她能夠在網(wǎng)頁(yè)上實(shí)現(xiàn)許多桌面編輯軟件（如：Word）所具有的強(qiáng)大可視編輯功能霹琼。WEB開(kāi)發(fā)人員可以用她把傳統(tǒng)的多行文本輸入框<TEXTAREA>替換為可視化的富文本輸入框，使最終用戶(hù)可以可視化的發(fā)布HTML格式的網(wǎng)頁(yè)內(nèi)容凉当。eWebEditor!已基本成為網(wǎng)站內(nèi)容管理發(fā)布的必備工具枣申！

Ewebeditor利用核心：

默認(rèn)后臺(tái)：www.xxxx.com/ewebeditor/admin_login.asp

默認(rèn)數(shù)據(jù)庫(kù)：ewebeditor/db/ewebeditor.mdb

默認(rèn)賬號(hào)密碼：admin admin/admin888

利用過(guò)程：

1、首先訪(fǎng)問(wèn)默認(rèn)管理頁(yè)看是否存在看杭；

注：默認(rèn)管理頁(yè)地址2.80以前為?ewebeditor/admin_login.asp?以后版本為admin/login.asp(其他語(yǔ)言改后戳,這里以asp為例) 忠藤。

2、嘗試默認(rèn)管理賬號(hào)密碼：（admin\admin）

默認(rèn)管理頁(yè)存在楼雹！我們就用帳號(hào)密碼登陸熄驼！默認(rèn)帳號(hào)密碼為: admin admin888?！常用的密碼還有admin admin999 admin1 admin000?之類(lèi)的烘豹。

成功登陸后臺(tái)

3瓜贾、默認(rèn)數(shù)據(jù)庫(kù)地址：

如果后臺(tái)管理密碼不是默認(rèn)的。我們?cè)L問(wèn)的就不是默認(rèn)數(shù)據(jù)庫(kù)携悯！嘗試下載數(shù)據(jù)庫(kù)得到管理員密碼祭芦！管理員的帳號(hào)密碼，都在eWebEditor_System表段里憔鬼，sys_UserName Sys_UserPass?都是md5加密的龟劲。得到了加密密碼≈峄颍可以去MD5解密等網(wǎng)站進(jìn)行查詢(xún)昌跌！

注：默認(rèn)數(shù)據(jù)庫(kù)路徑為:ewebeditor/db/ewebeditor.mdb?常用數(shù)據(jù)庫(kù)路徑為：

ewebeditor/db/ewebeditor.asa

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp

ewebeditor/db/ewebeditor1033.mdb?等等。

嘗試訪(fǎng)問(wèn)默認(rèn)路徑下載數(shù)據(jù)庫(kù)

md5加密后的賬號(hào)密碼存在

注：很多管理員常改.asp后綴照雁，一般訪(fǎng)問(wèn).asp .asa?后綴的都是亂碼蚕愤！可以用下載工具（迅雷）下載下來(lái)，然后更改后綴為.mdb來(lái)查看內(nèi)容饺蚊！

4萍诱、漏洞基本利用步驟，以asp為例污呼！

①裕坊、登陸后臺(tái)以后。

選擇樣式管理燕酷，默認(rèn)編輯器的默認(rèn)樣式都不可以修改的籍凝。我們可以從任意樣式新建一個(gè)樣式周瞎，然后在圖片上傳添加可上傳后綴。.asa .cer .cdx 等饵蒂！.asp 過(guò)濾過(guò)了声诸。但是我們可以用.aaspsp后綴來(lái)添加，這樣上傳文件正好被ewebeditor 吃掉asp后綴苹享，剩下.asp 。同樣浴麻，如果遇到一個(gè)管理員有安全意識(shí)的得问，從代碼里，把.asp .asa .cer .cdx 都完全禁止了软免，我們也可以用.asasaa 后綴來(lái)突破宫纬。添加完了后綴，可以在樣式管理膏萧，點(diǎn)擊預(yù)覽漓骚，然后上傳！?asa|cer|asp|aaspsp?Asa cer 它可以在iis6.0平臺(tái)解析為asp執(zhí)行?Aaspsp：繞過(guò)過(guò)濾 過(guò)濾asp aaspsp=》asp?注意：低版本ewebeditor不支持ie7.0以下版本訪(fǎng)問(wèn)（ietest軟件模擬ie6.0上傳）?以下以2.1.6這個(gè)版本為例來(lái)演示:?點(diǎn)擊樣式管理,然后新增樣式榛泛；

點(diǎn)擊提交

樣式增加成功

然后在工具欄里新增工具

然后點(diǎn)擊保存設(shè)置蝌蹂。然后再回去點(diǎn)擊預(yù)覽。

瀏覽器版本太高功能不能使用曹锨，換為低版本瀏覽器

控件效果就出來(lái)了孤个。然后直接上傳木馬(我這里上傳的為cer后綴的大馬)：

點(diǎn)擊確定，上傳成功沛简，之后齐鲤，查看代碼，就能看到完整的地址：

上傳后文件的路徑及文件名

用菜刀獲瀏覽器一連就能就OK了椒楣。给郊。。

密碼Skull.

成功連接

5捧灰、通過(guò)目錄遍歷漏洞

&dir=../

發(fā)現(xiàn)沒(méi)有起作用淆九，那就是2.1.6這個(gè)版本不存在這個(gè)漏洞。換成2.8.0毛俏。2.8.0存在這個(gè)漏洞吩屹。

2.1.6版本

搭建換成2.8.0版本

可以遍歷目錄

6、尋找前人痕跡再次入侵

有時(shí)候用戶(hù)名與密碼登不進(jìn)去拧抖，但是數(shù)據(jù)庫(kù)可以下載煤搜，這時(shí)候就可以看下是否有前人入侵過(guò)，如果有人入侵過(guò)的話(huà)唧席，就可以利用下面的方法進(jìn)入突破擦盾。

如何判斷有前人入侵過(guò)了??下載好數(shù)據(jù)庫(kù)之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加過(guò)什么嘲驾。

重新下載數(shù)據(jù)庫(kù)文件可以看到添加的樣式tessst

使用下面的語(yǔ)句進(jìn)入突破:

ewebeditor.asp?ID=xx&style=yy；其中的id=xx就是被修改過(guò)的那條記錄的id迹卢，而yy就是S_name字段的名字辽故。

http://192.168.0.105/ewebeditor.asp?ID=36&style=tessst

利用此樣式上傳木馬文件，然后攻擊者進(jìn)行連接

該鏈接指向前人創(chuàng)建的樣式腐碱，通過(guò)該樣式上傳自己的木馬然后再連接即可Ｌ芄浮！

7症见、文件上傳漏洞

注入2.1.6ewebeditor編輯器喂走。如下保存為html文件修改action，直接上傳cer馬谋作。

url為文件上傳路徑芋肠，根據(jù)個(gè)人情況更改

保存后打開(kāi)為此界面，直接上傳cer馬遵蚜，查看網(wǎng)頁(yè)源代碼獲取文件上傳后的文件名帖池，然后是用菜刀等工具鏈接

三、Fckeditor編輯器

可以去這下載編輯器:http://download.csdn.net/detail/u011781521/9767326吭净，自己安裝環(huán)境進(jìn)行測(cè)試睡汹；

（一）、查看fckeditor版本信息：

獲取版本信息后可以去網(wǎng)上查找對(duì)應(yīng)版本的漏洞進(jìn)行利用：

部分公開(kāi)漏洞

（二）寂殉、FCKeditor編輯器頁(yè)面

默認(rèn)頁(yè)面：_samples/default.html

（三）帮孔、常用上傳地址：

不同版本常用上傳地址：

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

由于這里用的是2.5的版本所以下面這條語(yǔ)句能用

http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

文件上傳頁(yè)面，默認(rèn)情況下路徑不會(huì)被改變

注意：如果在輸入以上地址測(cè)試的過(guò)程中彈出以下的提示：

（四）文件上傳

那就是沒(méi)有開(kāi)啟文件上傳功能,要把\editor\filemanager\connectors\asp\config.asp文件中的“DimConfigIsEnabled”

ConfigIsEnabled= False不撑，設(shè)置成功true文兢。就行了，然后上傳2.asp;.jpg文件試試

上傳文件名為2.asp;.jpg焕檬，但是上傳后被更改為2_asp;(1).jpg姆坚，把點(diǎn)改為了下劃線(xiàn)，審查元素看下圖片的路徑实愚。

http://192.168.0.105/userfiles/image/2_asp;(1).jpg訪(fǎng)問(wèn)這個(gè)路徑看下兼呵。

圖片沒(méi)有被解析

這就是fckeditor過(guò)濾"."為"_"的一個(gè)機(jī)制，想要突破的話(huà)有以下兩種方式：

①：二次上傳

第一次上傳：qq.asp;.jpg ==》qq_asp;.jpg

第二次上傳：qq.asp;.jpg ==》qq_asp;.jpg (不滿(mǎn)足命名要求)

可能出現(xiàn)第二次命名為 qq.asp;.(1).jpg

②：新建上傳：

手動(dòng)創(chuàng)建一個(gè)文件夾fenduo.asp

同樣的“.”被替換為“_”

發(fā)現(xiàn)他還是過(guò)濾了＠扒谩击喂！那我們只有突破建立文件夾了。

執(zhí)行以下地址就能成功創(chuàng)建文件夾

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=xx.asp

number=0說(shuō)明文件夾創(chuàng)建成功

文件夾創(chuàng)建成功

這又是為什么了????手動(dòng)不能創(chuàng)建碰辅，而通過(guò)以上地址就能成功創(chuàng)建了懂昂，讓我們來(lái)對(duì)比下，手動(dòng)創(chuàng)建和通過(guò)以上地址創(chuàng)建的一個(gè)區(qū)別没宾。

漏洞地址：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp

手工新建：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

漏洞產(chǎn)生原因：

CurrentFolder：當(dāng)前文件夾凌彬；未進(jìn)行過(guò)濾(這個(gè)文件夾下的沒(méi)有過(guò)濾)沸柔，簡(jiǎn)言之，系統(tǒng)會(huì)認(rèn)為這時(shí)已經(jīng)存在的文件夾而不進(jìn)行過(guò)濾铲敛，所以此處存在漏洞褐澎，不對(duì)CurrentFolder函數(shù)進(jìn)行過(guò)濾。

NewFolderName：新建文件名伐蒋；進(jìn)行了過(guò)濾工三，這就是為什么通過(guò)上面地址能創(chuàng)建，而手動(dòng)卻不能創(chuàng)建的一個(gè)原因先鱼，然后我們?cè)偕蟼?.asp;.jpg到fendo.asp文件下看是否成功解析俭正。

上傳成功，但文件名依舊為6_asp;.jpg

右鍵審查元素得到路徑

構(gòu)造url連接型型，圖片被當(dāng)做asp文件解析６紊蟆全蝶！

.asp文件夾下的文件都會(huì)被當(dāng)做asp文件解析

四闹蒜、CKFinder

任意文件上傳漏洞

原理：

其1.4.3 asp.net版本存在任意文件上傳漏洞，攻擊者可以利用該漏洞上傳任意文件抑淫，CKFinder在上傳文件的時(shí)候绷落，強(qiáng)制將文件名(不包括后綴)中點(diǎn)號(hào)等其他字符轉(zhuǎn)為下劃線(xiàn)_,但是在修改文件名時(shí)卻沒(méi)有任何限制，從而導(dǎo)致可以上傳1_php;1.jpg等畸形文件名始苇，最終導(dǎo)致文件上傳漏洞砌烁。

利用過(guò)程：

修改文件名為：1_php;1.jpg

利用iis6.0目錄解析漏洞拿shell

創(chuàng)建目錄/x.asp/

在目錄下上傳圖片馬即可拿shell

五、南方數(shù)據(jù)編輯器southidceditor

利用過(guò)程：

首先登陸后臺(tái)

利用編輯器上傳

訪(fǎng)問(wèn)admin/southidceditor/admin_style.asp

修改編輯器樣式催式，增加asa(不要asp)函喉，然后直接后臺(tái)編輯新聞上傳

六、UEDITOR富文本編輯器

利用過(guò)程：

利用ii6.0文件名解析漏洞

上傳圖片改名為

x.php;20221.jpg獲取shell

DotNetTextBox編輯器漏洞

關(guān)鍵字:system_dntb/

確定有system_dntb/uploadimg.aspx并能打開(kāi)荣月，這時(shí)候是不能上傳的管呵，由于他是驗(yàn)證cookie來(lái)得出上傳后的路徑，這樣我們可以用cookie欺騙工具

cookie:UserType=0;IsEdition=0;Info=1;

uploadFolder=../system_dntb/Upload/;

路徑可以修改哺窄，只要權(quán)限夠捐下，上傳后改名為1.asp;.jpg利用iis解析漏洞

七、PHPWEB網(wǎng)站管理系統(tǒng)后臺(tái)Kedit編輯器

兩種利用方式：

第一種：

利用iis6.0文件名解析漏洞上傳文件名為xx.php;xx.jpg格式文件萌业；

第二種方式：

%00截?cái)啵?a target="_blank">00截?cái)嘟馕?/a>）

xx.php%00jpg

八坷襟、Cute Editor 在線(xiàn)編輯器本地包含漏洞

影響版本：Cute Editor For Net 6.4

脆弱描述：可以隨意查看網(wǎng)站文件內(nèi)容，危害較大

攻擊利用：http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config