i春秋:警惕您站上的“FCK编辑器”解析漏洞突破检测上传后

FCK2.6.6版本上传漏洞绕过测试

在浏览器地址栏中的测试网址后面输入：/_whatsnew.html 查看版本信息为FCK2.6.6。

现在打开FCK的编辑器的上传点页面，在浏览器地址栏中的测试网址后面输入:

    /editor/filemanager/connectors/test.html

在页面中点击”浏览”，本地选择一个正常图片上传，点击Upload进行上传。

上传正常则返回成功提示：FIle uploaded with no errors(文件上传，没有错误)，如上传错误，则返回失败提示：Error on file upload Error number:102(在文件上传错误编号错误:102)。

小i提示:

• 如上传了一张图片(tuping.jpg),返回上传成功提示,即可判断出来FCK是可以正常使用的,如果图片上传不成功则是FCK编辑器不可以利用。

点击Get Folders and Files(获取文件夹和文件)来查看当前文件信息。点击后，我们可以看到刚刚上传的图片信息：,但是上传后，IIS是不会对jpg文件进行解析的,所以需要使用asp才可以执行asp一句话。于是我们需要上传asp文件，如(图4)所示，但是在上传’yijuhua.asp’时，返回了错误信息：Invalid file(无效文件)，服务器不允许直接上传后缀为asp，由此可以推断服务器会对上传文件进行检测，直接上传asp文件是无法通过验证的。所以我们要利用解析漏洞进行绕过检测。

小i知识点：

• Iis解析原理:Windows 2003 IIS6 存在着文件解析路径的漏洞，当文件夹名为类似**.asp结尾的目录名的时候（即文件夹名看起来像一个ASP文件的文件名），此时此文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为.jpg或.gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。比如 1.asp/a.jpg

小i提示：

• 一句话是一种常见的网站后门，短小精悍,而且功能强大，隐蔽性非常好，在渗透测试过程中始终扮演着强大的作用。
• 不同的环境需要选取与环境匹配的一句话

首先点击Create Folder(创建文件夹)新建一个文件夹名为1.asp点击确定

然后在Current Folder(当前文件夹)里面输入刚刚建立的文件夹名字1.asp，设置好文件保存路径,保存到1.asp文件夹里,把一句话（yijuhua.asp)的后缀换成.jpg,然后上传,从而绕过上传验证。

Current Folder(当前文件夹)把创建好的1.asp文件夹目录中，再创建一个2.asp的文件夹(因为不创建2.asp的文件夹1.asp的文件夹是不能使用的，所以要创建2.asp文件夹才可以使用)创建好后2.asp系统把1.asp文件夹自动生成出来然后1.asp的文件夹才可以使用，在上传(yijuhua.jpg)木马。

Current Folder(当前文件夹)设置好目录保存文件路径1.asp上传(yijuhua.jpg)返回File uploaded with no errors(没有错误上传的文件)上传成功。

看到url=”/userfiles/file/1.asp/”文件夹下的上传成功后,组合一个新的网址,先把文件夹路径给复制下来,然后复制上传后的一句话文件名，然后组合文件夹路径：/userfiles/file/1.asp/上传后一句话文件名：yijuhua.jpg组合：/userfiles/file/1.asp/yijuhua.jpg组合好一个新网址后,打开目标站放入到目标站的网址后面最终地址：www.test.com/userfiles/file/1.asp/yijuhua.jpg然后使用菜刀连接最终组合好的地址称为webshell。

连接webshell地址：www.test.com/userfiles/file/1.asp/yijuhua.jpg成功连接到服务器。