黑客营(30):Fckeditor漏洞致商城不设防
安全阵线
漏洞出处:YxShop易想购物商城
漏洞危害:黑客可以控制网站
YxShop易想购物商城是国内首个开源的商城系统,其内置的文件编辑器Fckeditor存在严重的上传漏洞(YxShop采用了2.4版本以下的Fckeditor编辑器, 2.4版本以下的Fckeditor编辑器存在上传漏洞),黑客通过该漏洞上传aspx木马即可获取一个webshell,从而控制整个网站。
测试方法如下:首先,以“powered by YxShop”为关键字进行搜索,可以找到很多使用YxShop商城系统搭建的网站,尽量挑选排名靠后的小网站,因为排在前面的网站已经被很多黑客光顾过了。
找到目标后,在其网站域名后添加如下命令:
controls/fckeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/aspx/connector.aspx
不出意外的话就能打开Fckeditor编辑器的上传文件页面,将事先准备好的aspx木马上传上去即可(图1)。
有些管理员知道了这个漏洞,可能会将connector.aspx文件删除,以此防范黑客入侵。但是黑客仍旧可以构造本地提交页面来上传文件。新建一个记事本,输入如下内容:
将该文件另存为test.html,双击打开后就可以上传aspx木马了。通过上传的aspx木马就可以获取一个webshell,至此,整个网站已经被攻陷(图2)。
由于YxShop本身并没有漏洞,问题出在Fckeditor编辑器上,因此我们只要针对Fckeditor编辑器进行处理,就可以阻止网站被入侵。处理方法有两种:
1.彻底删除Fckeditor编辑器。
2.将Fckeditor编辑器升级到2.4以上版本。