23：WEB漏洞-文件上传之解析漏洞编辑器安全(转)_fckeditor 2.6.3漏洞

23：WEB漏洞-文件上传之解析漏洞编辑器安全

实验还没弄，未完待续.。。。

本课重点

• 几种常见中间件解析漏洞简要演示
  • 案例1：中间件解析漏洞思维导图
• 几种常见Web编辑器简要演示
  • 案例2：fckeditor2.6.3 文件上传漏洞
• 几种常见CMS文件上传简要演示
  • 案例3：通达OA文件上传+文件包含漏洞
• 贴近实际应用下的以上知识点演示
  • 案例4：贴近实际应用下以上知识点总结

案例1：中间件解析漏洞思维导图

演示案例见上篇博客

案例2：fckeditor2.6.3 文件上传漏洞

编辑器漏洞整理

<1>将以下exp代码复制到fck.php文件中

+ View Code

<2>把fck.php复制到本地php的安装目录中

<3>在命令行执行代码，成功上传后门到服务器

<4>访问后门地址，成功利用。

其他可参考：https://navisec.it/编辑器漏洞手册/

案例3：通达OA文件上传+文件包含漏洞

1漏洞描述：

• 该漏洞在绕过身份验证的情况下通过文件上传漏洞上传恶意php文件，组合文件包含漏洞最终造成远程代码执行漏洞，从而导致可以控制服务器system权限。

2漏洞原理：

• 在通达OA上传漏洞中，上传文件upload在通达OA上传漏洞中，上传文件upload.php文件中存在一个p参数，如果p参数，如果p非空就可以跳过auth.php验证机制：
• 文件包含漏洞存在于geteway.php文件中，可直接包含url：

3漏洞复现：

<1>下载安装通达OA并访问

<2>访问上传目录，我使用的是V11版本，路径为：ispirit/im/upload.php。Burp抓包构造数据包上传文件，POC为：

+ View Code

<3>发送POC，上传成功。

<4>上传成功后访问文件包含路径/ispirit/interface/geteway.php，burp抓包构造数据包发送指令。

POST /mac/gateway.php HTTP/1.1``Host: 10.10.20.116:88（根据自己的IP而定）``Connection: keep-alive``Accept-Encoding: gzip, deflate``Accept: */*``User-Agent: python-requests/2.21.0``Content-Length: 69``Content-Type: application/x-www-form-urlencoded` `json={``"url"``:``"/general/../../attach/im/2003/941633647.jpg"``}&cmd=whoami

<5>命令执行成功。

<6>也可以使用POC工具

• https://github.com/M4tir/tongda-oa-tools
• https://github.com/fuhei/tongda_rce

4修复建议：

• 更新官方补丁

参考：https://www.cnblogs.com/twlr/p/12989951.html

案例4：贴近实际应用下以上知识点总结

判断中间件平台，编辑器类型或CMS名称进行测试