Z-Blog附件漏洞

    记得以前用过Z-Blog,因为嫌上传太麻烦,给z-blog的作者做了一个压缩包,直接上传以后解压使用的,转眼间,z-blog作者已经更新了那个文件,做得很爽了。

    前几天又装上了z-blog,使用中发现上传文件非常不方便,于是打开了FCK Editor的上传功能,由于对安全非常铭感,联想到由此打开会产生的漏洞。分析一下。

    配置文件里
    ConfigIsEnabled = true 让配置生效
    ConfigDeniedExtensions.Add "File", "php|php3|php5|phtml|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|dll|reg|cgi"是拒绝的普通文件类型

    由于使用配置以后,FCKEditor并不能判断是不是合法的blog使用者在使用,于是就允许一切人上传文件,文件类型当然在规定的范围之类。不能上传ASP?由此联想到动网当初被一个’\0’文件名欺骗弄得沸沸扬扬,这个国外的CKEditor也一定有此漏洞。

    以下开始入侵部分

    首先在Google上找一个z-blog的网站,比如www.nov30th.com/blog/

    然后在地址后面添加FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp以检测是否使用了FCKEditor和配置文件是否开启。如果得到的页面是一片空白,而不是404错误或者一个提示打开配置文件的警告框,那么99%可以入侵成功。

    下载桂林老兵的上传工具,在地址栏输入www.nov30th.com/blog/FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=FileUpload&Type=Image&CurrentFolder=/

    文件字段输入"NewFile"(通过抓包获得),选择"文件名可定义",选择好本地文件,按提交就完成了,文件可以在
    www.nov30th.com/userfiles/image/你的文件名.asp找到

    漏洞玩得愉快。