2023年7月13日发(作者:)
墨者学院-编辑器漏洞分析溯源(第1题)编辑器漏洞分析溯源(第1题)难易程度:★★题⽬类型:编辑器漏洞使⽤⼯具:FireFox浏览器、burpsuite、菜⼑1.打开靶场,看到提⽰信息显⽰fckeditor。2.⾸先查看fckeditor版本,在url中输⼊/fckeditor/_3.然后需要知道fckeditor的上传地址常⽤的上传地址有:(1)fckeditor/editor/filemanager/browser/default/connectors/(2)fckeditor/editor/filemanager/upload/(3)fckeditor/editor/filemanager/connectors/(4)fckeditor/editor/filemanager/connectors/每⼀个都试⼀下,发现是fckeditor/editor/filemanager/connectors/。4.上传⼀个asp的⼀句话⽊马,但是这个版本的fckeditor是不允许上传asp后缀的⽂件,所以需要使⽤Burpsuite截包,修改后缀名为.asp;jpg。注意的是,下⽅未显⽰上传存储路径,所以我再次上传同⼀⽂件,在提⽰框中得知存储路径为/userfiles/file。5.使⽤菜⼑连接。6.这⾥key藏得有点深,最后C盘根⽬录中找到。
发布者:admin,转转请注明出处:http://www.yc00.com/xiaochengxu/1689192381a218971.html
评论列表(0条)