编辑器漏洞

简介

一般编辑器会嵌入在网站当中，由后台或者前台调用，进行内容的编辑、文件上传。

通常，网站的脚本语言和编辑器的脚本语言是相同的，即ASP的站点，其编辑器的脚本语言也是ASP；PHP、JSP、.NET也是如此

常见编辑器

EWebedtitor

• 默认账号密码为：
  admin|admin888、admin|admin999、admin|admin1、admin|adminewebeditor

• 默认数据库路径

  • （可通过浏览器直接将之下载至本地后查看其后台登陆处的帐号密码）
  • ./ewebeditor/db/ewebeditor.mdb
    ./ewebeditor/db/ewebeditor.asa
    ./ewebeditor/db/ewebeditor.asp
    ./ewebeditor/db/#ewebeditor.asa
    ./ewebeditor/db/#ewebeditor.mdb
    ./ewebeditor/db/!@#ewebeditor.asp
    ./ewebeditor/db/ewebeditor1033.mdb
  • 很多管理员常改.asp后缀，一般访问.asp .asa

• 漏洞利用

  • 获取webshell
  • 目录遍历
  • session欺骗
  • 任意文件删除
  • config.asp一句话插马
  • 注入数据库与控制上传后缀
  • 注入漏洞
  • 任意文件上传

FCKeditor

• 简介

  • FCKeditor在以前是一款使用率相对比较高的编辑器，与eWebEdtior不同的是，它并没有管理后台，几乎不会存在SQL注入、session伪造等漏洞，所以FCKeditor大部分的漏洞为上传漏洞。
  • 一般情况下，任意文集爱你上传是建立在服务器web中间件解析漏洞的基础之上的。比如经典的IIS6.0的解析漏洞，编辑器本身限制了asp、asa、cer等各式的上传，但是可以通过解析漏洞上传1.asa;.jpg 绕过编辑器限制，上传到服务器之后，导致;截断后面的内容，文件被当作asp解析。

Kindeditor

spaw editor

编辑器漏洞类型

上传漏洞

• 编辑器不像网站后台的目录，会有cookie或者其他方式进行权限验证，防止未授权的访问。但是，在站点不经过特意加固的情况下，很多编辑器的目录及页面都是可以直接访问的。几乎所有的web编辑器都会有上传的功能，这部分功能，有的站点会经过二次开发有的则会直接沿用。
  那么，对于这些编辑器在进行渗透的时候，应该采用各种手段来进行测试。对于一些经过二次修改的编辑器，可能会将原来不存在漏洞的代码修改后造成防御措施失效，可通过上传漏洞（或上传限制绕过）获取webshell。

目录遍历漏洞

• 有些编辑器，在使用的时候，我们会看到URL的连接会有如下字符：./xxx或者…/xxx此时，我们可以尝试一下目录遍历，或者目录任意文件下载甚至是任意文件包含。
  此类漏洞分为两种，一种是在URL内，肉眼可见的，另一种是通过post提交，肉眼不可见；前者我们手动测试即可，后者则需要配合burpsuite等工具进行HTTP数据包的分析。

文件操作不严谨

• 在某些编辑器中，对于上传之后的文件，可以操作，比如修改文件名、修改属性、修改后缀等等。此类编辑器比较少，但我们在渗透时也要注意到这一点。

渗透思路

编辑器我们在渗透时可以把他看作为一个相对独立网站，只是其功能是为站点提供富文本编辑功能。

操作系统或中间件类型判断

• 通过判断操作系统或者中间件类型，我们应该明白什么时候可以利用哪种解析漏洞，比如判断中间件为IIS6.0，而站点脚本语言为PHP。那么php;.jpg 可以被执行，asp;.jpg也可以被执行！

通过上传页面验证方式，选择如何突破上传

• 有的编辑器采用JS验证上传文件后缀，那么，我们可以采用数据包截断的方式突破。
  如果采用黑名单的方式验证后缀，我们可以采用使用其他后缀名的方式绕过。
  如果采用白名单的方式验证后缀，我们则要想办法突破其白名单限制，或者通过空字符截断的方式来绕过。