编辑器实现原理(代码执行漏洞原理)
编辑器实现原理(代码执行漏洞原理),本文通过数据整理汇集了编辑器实现原理(代码执行漏洞原理)相关信息,下面一起看看。
从动态WEB发展初期到现在,编辑器漏洞层出不穷。君先列举一些最著名的编辑器漏洞,看看它们的漏洞程度。
FCKeditor
每个人都知道FCKeditor是个孩子WEB开发的鞋子。FCK是这个编辑器的作者Frederico Caldeira Knabben的缩写,是一个所见即所得的文本编辑器,属于开源代码,专门用在网页上。它致力于轻量级,无需太复杂的安装步骤即可使用。可以和PHP、JavaScript、ASP、ASP.NET、ColdFusion、Java、ABAP等不同的编程语言结合使用。而且使用率极高。
它的漏洞也存在于每个版本中。现在让让我们列举其中的一些。
FCKeditor可以通过FCKeditor/_ whatsnew.html查看当前版本。如果版本是2.2,在Apache linux环境下,在上传的文件后添加一个.来绕过文件验证,上传WEBSHELL。
PHP=2.4.2的FCK版本在上传处理的地方没有控制媒体类型的上传文件类型,导致用户上传WEBSHELL。测试代码:
4.1版本的FCK提交WEBSHELL.php空间以绕过对其后缀的检测。
FCK版本=版本4.2。如果你继续上传同名文件,它会变成WEBSHELL.php。(1).jpg,执行WEBSHELL。
突破文件夹漏洞,利用解析漏洞,并测试代码:
列漏洞:
1.修改CurrentFolder参数,并使用/输入不同的目录。
2.通过返回的XML信息查看所有目录。
像FCKeditor这样有漏洞的编辑器还有很多,比如eWebEditor,CKFinder,南方数据编辑器southidceditor,UEDITOR,DotNetTextBox编辑器,PHPWEB网站管理系统后台的Kedit编辑器,可爱编辑器等等。使用方式也大致相同,比如上传不过滤、绕过过滤后缀、编辑器后台添加新后缀、文件夹解析漏洞、列目录漏洞等。
本期,我们重点关注eWebEditor。打开它的官网,我瞬间惊呆了,感觉就像10年前一样。整个网站还是用ASP开发,界面也是10年前常见的布局。
电子编辑主页
编辑器界面
这个界面是不是特别熟悉?目前市面上大部分CMS还是用eWebEditor。
授权背景
目前,eWebEditor开始授权使用。购买授权后,可以通过其后台修改后缀,形成上传WEBSHELL的通道。但是目前很多用户都没有授权,那么如何获取WEBSHELL呢?
未经授权的背景
未授权的eWebEditor在样式管理和上传管理中不可用,所以之前的漏洞是不可用的。那么如何才能绕开呢?看看君演示:
EWebEditor为了方便开发者在本地测试,并没有授权127.0.0.1或localhost。也就是说,如果使用域名访问未经授权的后台,是无权修改配置的,但是如果使用127.0.0.1或者localhost进行本地测试,则可以。
本地测试
可以修改本地测试。
现在让让我们审计一下代码,看看它对localhost、127.0.0.1和域名访问有什么不同的影响。
经过我们的查找,发现在ewebeditor/php/i.php文件中的CheckLicense函数中,在检查授权信息时,首先要判断当前域名是127.0.0.1还是localhost,如果是,就直接返回true,不需要进一步验证授权是否有效。
代码段
既然我们知道这就是问题所在,我们我会尽量伪造并绕过它,让后台的配置功能可以正常使用。
当我们登录到ewebeditor的后台,用Burp截取数据,可以看到有一个请求参数h,它的值是当前的域名或者IP。
数据拦截
让s把这个H值锻造成127.0.0.1,提交测试:
成功进入后台后,虽然显示仍是无效授权,但后台配置等功能完全可以使用。
后台配置工作正常。
然后我们找一个样式表修改配置上传后缀,加一个php后缀上传WEBSHELL。
添加后缀
为了测试方便,exp直接发布给大家。请不要t非法攻击,只是为了测试!
这段代码已经包含一个单词的特洛伊木马。如果你觉得你可以忍不住杀了它,你可以读君的上一篇文章,其中包含一个免杀的供使用。
上传成功:
上传成功。
以上是eWebEditor的最新漏洞。现在,让让我们来盘点一下eWebEditor最热门的漏洞。
下载数据库
ewebeditor db/ewebeditor.mdb的默认数据库路径可以直接下载。如果有后台接口,可以直接破解MD5密码登录。但很多时候,渗透者通过这种方法成功获得权限后,后台登录页面login.php、admin_login.php、login.php都会被删除。然后我们就可以下载数据库,找到之前的渗透者,修改添加后缀,比如asa,asp,aspx,php,cer等。然后通过URL构造editor.html直接上传到eWebEditor。
配置文件插入
EWebEditor=2.8商业版。后台用了一个词木马。登录后台,点击更改密码—新密码设置,填写自己的一字木马。设置提交成功后,就可以访问配置文件asp/config.asp文件了,一个字木马就写入了这个文件。
文件夹遍历漏洞
就像我在本文开头写的FCKeditor编辑器的文件遍历漏洞一样,eWebEditor也有这个漏洞,文件夹遍历漏洞基本存在于
eweb editor/admin _ uploadfile.asp最高版本号是
ee editor/admin/upload . ASP文件,我们可以构建连接:
遍历WEB的目录,同样存在遍历漏洞的代码有:
后台旁路身份验证登录
访问后台登录页面!随便输入账号密码,返回登录错误,然后清空浏览器,在地址栏输入。
然后清空地址栏,在路径中输入后台登录后的页面,例如:admin_default.asp、admin/default.asp等。并且可以直接进入后台。这是一个很老的漏洞,仅供大家测试。
结论:
由于编辑器是打通前端和后端数据交互的必备工具之一,所以我们更应该关注它的安全性,而不仅仅是后端的逻辑安全性。感谢您阅读这篇文章。更多安全知识,请关注极客君头条。下次见!
更多编辑器实现原理(代码执行漏洞原理)相关信息请关注本站。