老洞复现FCKeditorV24

0x00前言小黑之前写了个upload-labs靶场系列，其中第一篇《上传靶场upload-labs搭建及使用》提到刷完原版后会继续刷国光版和开普勒版。现在这两个版本我也看过了，国光版除去页面ui和细节上的不同，其余基本和原版是一样的。开普勒版的前20关也一样，不过后面多了4个新的自创关卡。本文即开普勒版的第21关，也就是它第一个自创关卡的内容。搭环境的过程就省略了，开普勒版没有像原版一样提供集成环境，建议使用新版的phpstudy自行搭建。访问主页面需要php7以上版本，选择关卡后，还需要在php7和5之间反复横跳。此关需要php5.3及以下版本。0x01后缀加空格绕过进入关卡，很简洁的页面。根据提示访问路径后发现是fckeditor的测试上传页。

再访问根目录下的_whatsnew.html获得版本信息。

或者可以访问editor/dialog/fck_about.html来获取。在测试上传页修改Connector选项为php，然后直接上传php文件，用burp抓包在文件名最后加空格，即可绕过FCK编辑器File类型上传文件的黑名单限制。提示这个就是上传成功了。至于文件被上传到哪里了，可以访问下面这个链接获取路径：/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFilesType=FileCurrentFolder=/根据获取到的路径直接访问文件即可。不是所有fck都是这个测试上传页路径，大家可以把下面这些加进扫目录的字典里。当然有时实在没有测试上传页也可以对着上传接口直接构造上传请求，收集到的上传接口也在下面了。

FCKeditor/editor/filemanager/browser/default/connectors/test.htmlFCKeditor/editor/filemanager/upload/test.htmlFCKeditor/editor/filemanager/connectors/test.htmlFCKeditor/editor/filemanager/connectors/uploadtest.htmlFCKeditor/_samples/default.htmlFCKeditor/_samples/asp/sample01.aspFCKeditor/_samples/asp/sample02.aspFCKeditor/_samples/asp/sample03.aspFCKeditor/_samples/asp/sample04.aspFCKeditor/_samples/default.htmlFCKeditor/editor/fckeditor.htmFCKeditor/editor/fckdialog.htmlFCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFilesType=ImageCurrentFolder=/FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFilesType=ImageCurrentFolder=/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFilesType=ImageCurrentFolder=/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector.jsp?Command=GetFoldersAndFilesType=ImageCurrentFolder=/FCKeditor/editor/filemanager/browser/default/browser.html?Type=ImageConnector=

转载请注明：http://www.aierlanlan.com/tzrz/843.html