ckeditor漏洞

ckeditor漏洞

1、ckfinder上传漏洞

ckfinder是一个AJAX的文件管理工具，配合ckeditor用于网站上传、管理文件。
但是ckfinder/ckfinder.html页面，访问不需特别权限。
利用在IIS6.0的环境下的解析漏洞可拿webshell。

2、ckeditor上传漏洞

http://www.netknight.in/manage/ckfinder/ckfinder.html
上传1.gif后再右击重命名成1.asp;.gif

3、ClanSphere 2011.0集成了ckeditor编辑器（注：ckeditor是fckeditor的3.0版本）

谷歌关键词：

inurl:/mods/ckeditor/filemanager/

或者inurl:index.php?mod=clansphere

漏洞测试：
http://www.netknight.in/mods/ckeditor/filemanager/connectors/test.html
http://www.netknight.in/mods/ckeditor/filemanager/connectors/uploadtest.html
http://www.netknight.in/mods/ckeditor/filemanager/browser/default/browser.html
http://www.netknight.in/mods/ckeditor/filemanager/browser/default/frmupload.html

ClanSphere CKEditor组件

http://www.netknight.in/mods/ckeditor/filemanager/connectors/php/upload.php允许上传任意控制名的文件，可造成任意文件上传和执行任意PHP代码

ckeditor编辑器在IIS7.5下的上传漏洞测试

点下图片上传按钮跳出了上传页面，浏览——看到了目录。一片空白，没有前人来过啊。

果断的尝试直接上马，类型错误=失败，建了个asp目录才想起来是iis7.5的（蒙了），传了个图片测试，被重命名了。有点操蛋，跳到test.Html上传页面，发现aspx上传页面被干掉了，试了试asp的，还在传文件，传图片，各种传，NND，无果。

继续跳回文件浏览页，明知道IIS7.5解析漏洞木有，还是把一个马命名为1.asp;.jpg传了下，正常上传。但是有点操蛋

图

文件扩展名后面没有了，留下个；号。记得以前没见过这样的啊。百度找了下，也没见有啊。

首先想到的是有洞，继续改文件名测试。一次、两次、三次、。。。。

基本都要在后面加个；号，测试了几十种配法。。各种替换各种来，最后有点接近了。。。看那个.;a的文件，稍微改了下，改成 了  a.aspx.a;.a.aspx.jpg..jpg  终于出现了我想要的效果，就是上图最后那个aspx的文件，兴奋的打开，看见看我可爱的小马儿。

转自：http://www.backlion.com/ckeditor%E7%BC%96%E8%BE%91%E5%99%A8%E5%9C%A8iis7-5%E4%B8%8B%E7%9A%84%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E6%B5%8B%E8%AF%95/

转载请注明：jinglingshu的博客 » ckeditor漏洞