網站安全攻與防的啟示錄(6)

利用FCKeditor編輯器漏洞獲取WEBshell

現在打開網站先注冊一個會員賬戶testweb,在用戶管理中信——投稿管理——發布稿件的地方發現該網站使用了一款名為FCKeditor在線編輯器。FCKeditor是一款在線編輯器，能夠在線進行文字和圖片的編輯等工作，通常會作為一個編輯部件嵌入其他的一些程序中。我們平時泡論壇，寫博客，經常可以在網頁中對我們的文字或圖片進行簡單的編輯。FCKeditor的應用十分廣泛，但是漏洞也非常多。

現在來測試下FCKeditor最為普遍的上傳漏洞。打開圖片上傳選項，然后選擇準備好的JSP木馬上傳，發現被禁止上傳圖片文件格式以外的文件。不過它在上傳文件判斷的時候采用的是本地驗證后綴名方式，所以攻擊者可以通過代理工Burpsuitepro來進行上傳，先修改JSP木馬的后綴為JPG圖片格式，比如把1.jsp改為2.jpg；然后Burpsuitepro抓包阻斷上傳的內容，把上傳的2.jpg再改回1.jsp，從而繞過網站編輯器本地驗證的過程，成功上傳文件得到一個Webshell。

 圖 利用工具抓包修改上傳內容

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]