常用编辑器包括:
FCKeditor
EWEbeditor
CKFinder
UEDITOR
DotNet TextBox
Cute Editor
其中,用的次数较多的两种编辑器是FCK和eWEB,本篇博客将用这两种编辑器作演
示。
2.FCKeditor编辑器漏洞利用
FCKeditor常见上传目录:
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
(1) FCK编辑器漏洞 —— “.” 变 “_” 绕过方法
在高版本fck中,直接上传或抓包修改文件名“a.asp;.jpg”,都会将前面的点变成下划线,
也就是变成“a_asp;.jpg”,这样我们的文件名解析就无效果了。绕过方法是突破建立文件
夹,其实质是利用我们IIS6.0的目录解析(参考前文)。