1 Search result

    记得以前用过Z-Blog,因为嫌上传太麻烦，给z-blog的作者做了一个压缩包，直接上传以后解压使用的，转眼间，z-blog作者已经更新了那个文件，做得很爽了。     前几天又装上了z-blog，使用中发现上传文件非常不方便，于是打开了FCK Editor的上传功能，由于对安全非常铭感，联想到由此打开会产生的漏洞。分析一下。     配置文件里    ConfigIsEnabled = true 让配置生效    ConfigDeniedExtensions.Add "File", "php|php3|php5|phtml|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|dll|reg|cgi"是拒绝的普通文件类型     由于使用配置以后，FCKEditor并不能判断是不是合法的blog使用者在使用，于是就允许一切人上传文件，文件类型当然在规定的范围之类。不能上传ASP？由此联想到动网当初被一个’\0’文件名欺骗弄得沸沸扬扬，这个国外的CKEditor也一定有此漏洞。     以下开始入侵部分     首先在Google上找一个z-blog的网站，比如www.nov30th.com/blog/     然后在地址后面添加FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp以检测是否使用了FCKEditor和配置文件是否开启。如果得到的页面是一片空白，而不是404错误或者一个提示打开配置文件的警告框，那么99%可以入侵成功。     下载桂林老兵的上传工具，在地址栏输入www.nov30th.com/blog/FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=FileUpload&Type=Image&CurrentFolder=/     文件字段输入"NewFile"（通过抓包获得），选择"文件名可定义"，选择好本地文件，按提交就完成了，文件可以在    www.nov30th.com/userfiles/image/你的文件名.asp找到     漏洞玩得愉快。