编辑器漏洞详解

最新推荐文章于 2025-09-23 11:51:04 发布
原创 最新推荐文章于 2025-09-23 11:51:04 发布 · 1.9k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

此处链接到大佬地址
http://navisec.it/编辑器漏洞手册/
本人做学习记录

一、FCKeditor

编辑器页

FCKeditor/_samples/default.html
FCKeditor/_samples/default.html
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp
fckeditor/editor/filemanager/connectors/test.html

FCKeditor 查看编辑器版本

FCKeditor/_whatsnew.html

FCKeditor V2.43 版本

FCKeditor/editor/filemanager/browser/default/connectors/php/config.php

FCKeditor V2.6.6版本

FCKeditor/editor/filemanager/connectors/asp/config.php

FCKeditor 匿名上传文件

影响版本:非优化/精简版本的FCKeditor

脆弱描述:
如果存在以下文件,打开后即可上传文件。

攻击利用:

FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html

FCKeditor 查看文件上传路径

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

XML页面中第二行 url=/xxx的部分就是默认基准上传路径

Note:

[Hell1]截至2010年02月15日最新版本为FCKeditor v2.6.6
[Hell2]记得修改其中两处asp为FCKeditor实际使用的脚本语言

FCKeditor被动限制策略所导致的过滤不严问题

影响版本: FCKeditor x.x <= FCKeditor v2.4.3

脆弱描述:FCKeditor v2.4.3中File类别默认拒绝上传类型

最低0.47元/天 解锁文章
实战纪实 | 编辑器漏洞之Ueditor-任意文件上传漏洞 (老洞新谈)
zkaqlaoniao的博客
04-12 2万+
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor的漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
编辑器漏洞、越权、逻辑漏洞(不安全的对象引用、功能级别访问控制缺失)
赤赤三的博客
03-24 2929
编辑器漏洞: Ewebeditor编辑器漏洞 Fckeditor编辑器漏洞 ckfinder编辑器漏洞 旁注、目录越权、跨库、CDN绕过 旁注: 在同一个服务器上有多个站点,我们要攻击的这个站点假设没有漏洞,我们就可以攻击服务器上任意一个站点,这就是旁注 IP逆向查询有多少个站点(通过ping获得其相关地址后,通过ip地址反查其旁注的域名): http://stool.chinaz.com/Same/ http://dns.aizhan.com/ htt...
记Fckeditor漏洞
zhangpeng999123的博客
03-07 3098
首先是对目标站点进行了基本的测试然后发现了存在fckeditor,fckeditor的漏洞有很多,基本asp的都被通杀了,大家可以在网上看看。首先看看编辑器的版本: $ http://xxxxxxx.com/fckeditor/editor/dialog/fck_about.html 查看版本信息: 版本信息 可以看到是2.6.6的版本,那就对症下药。同时提一下,查看版...
漏洞盒子是做什么的_对一次渗透测试FCKeditor编辑器漏洞讲解_手把手教网络安全教程
最新发布
分享Python知识
09-23 438
漏洞盒子是做什么的_对一次渗透测试FCKeditor编辑器漏洞讲解_手把手教网络安全教程0x0介绍即大名鼎鼎的,常见的文本编辑器还有\\\等;功能都类似,上传图片、视频、远程下载功能,由于减少了开发时间,所以安全漏洞很厉害。是一个开源的文字编辑器,适用于asp\php\jsp\aspx等网站,后改名.0x01前期信息收集看出打开了很多端口,其中3306是mysql端口,还有个8080的http代理服务端口,可以从这里进去。然后进去端口后发现什么都没有。使用nikto -h :8080。
网页编辑器漏洞大全
07-13
涵盖了诸如常见的FCKeditor、eWebEditor、Cuteditor、Freetextbox、Webhtmleditor、Kindeditor、所谓的eWebEditorNET、所谓的 southidceditor、所谓的bigcneditor
常见的编辑器漏洞
jkant的专栏
03-16 2910
比如常见的编辑器漏洞有:ewebeditor  ewebeditornet    fckeditoreditor   southidceditor SouthidcEditorbigcneditor一:ewebeditor为例1:默认下载下来的后台:   http://www.test.com/ewebeditor/admin_login.asp后台如果能进入:可点击样式管
编辑器漏洞手册
xiaoshan812613234的专栏
09-09 1672
简介 #2014年8月21日 最初的手册版本,是由北洋贱队的各位朋友收集整理。时隔4年,我们再次整理了这些文件。目的是希望这种传统能延续下去。我们相信:星星之火可以燎原。希望大家能多提建议,完善这份手册。 #2010年某月某日 创建这样一个文档是为了能够使得众多需要得到帮助的人们,在她们最为困苦之时找到为自己点亮的那盏明灯,虽然这将揭示了某个寂静黑夜下一群躁动不安的人群
15-编辑器漏洞1
08-03
编辑器漏洞通常出现在富文本编辑器(如FCKeditor)中,由于编辑器在处理文件上传时的安全控制不足,使得攻击者有机会上传任意文件。标题中的"15-编辑器漏洞1"指的是针对编辑器的某一种具体漏洞实例。 3. **编辑器...
HTML 编辑器 FCKeditor使用详解
10-29
这个编辑器适用于多种环境和平台,广泛应用于博客系统、论坛、内容管理系统和其他需要用户生成内容的网页应用程序。以下是关于FCKeditor的详细介绍: 1. 功能特性 FCKeditor支持所见即所得的编辑模式,用户可以直观...
bz.exe 二进制编辑器 BZ编辑器
12-22
**二进制编辑器BZ编辑器概述** 二进制编辑器,如“bz.exe”,是一种专门用于处理二进制数据的专业工具。这种编辑器允许用户直接查看和修改计算机存储介质上的原始字节,这对于软件开发、逆向工程、数据分析以及故障...
基于开发中使用UEditor编辑器的注意事项详解
10-19
2. 安全性:由于富文本编辑器可能成为安全漏洞的入口,开发者需要确保UEditor的配置能够防止潜在的跨站脚本攻击(XSS)。这通常包括过滤掉不安全的标签和属性、限制上传文件类型、设置内容安全策略等。 3. 自定义和...
编辑器漏洞
qq_44790964的博客
10-25 420
编辑器利用 查找编辑器目录 目录扫描 目录遍历 蜘蛛爬行 漏洞利用 百度相关编辑器漏洞利用 editor edit fckeditor ewebeditor admin/deitor admin ewebeditor upload.asp up.html 爬行 aws burpsuite caidao editor 图片上传目录 分析网站的编辑器 eweb 在uploadfile路径下上传的 fc...
编辑器漏洞整理
zhangge3663的博客
03-14 3299
1.常见的编辑器 常见的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。这里有份编辑器漏洞手册: http://navisec.it/%E7%BC%96%E8%BE%91%E5%99%A8%E6%BC%8F%E6%B4%9E%E6%89%8B%E5%86%8C/ 2.Ewebeditor编辑器 Ewebeditor是基于浏览器的、所见即所...
FCKeditor网页编辑器漏洞手册
禅心之道的博客
10-19 447
FCKeditor编辑器页/查看编辑器版本/查看文件上传路径FCKeditor编辑器页FCKeditor/_samples/default.html查看编辑器版本FCKeditor/_whatsnew.html查看文件上传路径fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Co...
Cute Editor/Webhtmleditor/Kindeditor/Freetextbox网页编辑器漏洞手册
禅心之道的博客
10-19 550
CuteEditorCuteEditor在线编辑器本地包含漏洞影响版本:CuteEditorForNet6.4脆弱描述:可以随意查看网站文件内容,危害较大。***利用:http://www.heimian.com/CuteSoft_Client/CuteEditor/Load.ashx?type=p_w_picpath&file=../../../web.config...
【渗透测试】--- FCKeditor文本编辑器漏洞
热门推荐
qq_43168364的博客
12-25 1万+
一、FCKeditor编辑器漏洞 FCKeditor编辑器是一款强大的所见即所得文本编辑器,现在已经更名为:CKEditor fckeditor的常见敏感目录(FCK有时要小写) (1) 查看版本信息 /FCKeditor/editor/dialog/fck_about.html /FCKeditor/_whatsnew.html (2) 默认上传页面 /FCKeditor/editor/filemanager/browser/default/browser.html /FCKeditor/edito
常见编辑器漏洞汇总【超全】(转载)
00勇士王子的博客
09-15 7933
以前挖某站发现使用了编辑器,想用通用漏洞探一探,奈何当时无从下手,这件事就放到了我的心上,就去学习了此方面的知识,了解了一些思路,把编辑器漏洞汇总到了一起,分享给想要了解这方面漏洞的小伙伴首先介绍什么是编辑器:编辑器是非常好用的网页在线编辑器,顾名思义就是让我们的用户可以在网页上进行文本的编辑,可以在网页上设置字体的样式段落行间距类似于用word编辑比较方便,并将工具生成得到的html样式插入到数据库中我们可以右键,审查元素,查看js 文件和文件内容标识。
编辑器漏洞(配合文件上传等)
guanjian_ci的博客
03-23 6123
编辑器分类:ewebeditor、kindeditor、ckeditor、fckeditor、Cute Editor、ueditor、southidceditor等等 一、ewebeditor编辑器(数据库路径、文件上传、目录遍历、SQL注入等) (1)漏洞1 Admin_Login.asp 登录页面 Admin_Default.asp 管理首页 Admin_Style.asp 样式页面 Admin_UploadFile.asp 上...
FCK在线编辑器使用方法详解
在线编辑器 FCK 使用说明是一个围绕 FCK 编辑器展开的技术文档,主要目的是介绍该编辑器的基本功能、操作方法以及在实际开发或内容管理中的应用场景。FCK 编辑器,也称为 FCKeditor,是一个广泛应用于网页开发中的富...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值