网站安全攻与防的启示录(6)

利用FCKeditor编辑器漏洞获取WEBshell

现在打开网站先注册一个会员账户testweb,在用户管理中信——投稿管理——发布稿件的地方发现该网站使用了一款名为FCKeditor在线编辑器。FCKeditor是一款在线编辑器，能够在线进行文字和图片的编辑等工作，通常会作为一个编辑部件嵌入其他的一些程序中。我们平时泡论坛，写博客，经常可以在网页中对我们的文字或图片进行简单的编辑。FCKeditor的应用十分广泛，但是漏洞也非常多。

现在来测试下FCKeditor最为普遍的上传漏洞。打开图片上传选项，然后选择准备好的JSP木马上传，发现被禁止上传图片文件格式以外的文件。不过它在上传文件判断的时候采用的是本地验证后缀名方式，所以攻击者可以通过代理工Burpsuitepro来进行上传，先修改JSP木马的后缀为JPG图片格式，比如把1.jsp改为2.jpg；然后Burpsuitepro抓包阻断上传的内容，把上传的2.jpg再改回1.jsp，从而绕过网站编辑器本地验证的过程，成功上传文件得到一个Webshell。

 图 利用工具抓包修改上传内容

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]