利用KindEditor漏洞上传网马

? ? ? ?KindEditor是常用的富文本编辑器,里边有上传的功能,如果上传文件类型控制的不好,可能就会给网站带来安全问题,比如上传了网马,可能对我们的服务器就造成了伤害。 ? ? ?
admin

  ? ? ? ?KindEditor是常用的富文本编辑器,里边有上传的功能,如果上传文件类型控制的不好,可能就会给网站带来安全问题,比如上传了网马,可能对我们的服务器就造成了伤害。

  ? ? ? ?首先通过搜索引擎查到使用kindeditor的位置,比如http://xxxx/editor/?,然后编写上传文件代码,例如:

  ? ? ? ?效果如下:?

  ? ?

  ? ? ? ?选择测试文件:

  ? ? ? ?我们可以看到文件已经上传了,然后浏览器输入文件路径地址,就可以看到上传的文件内容了,如果可以上传asp等可执行脚本文件,就可以提权了,即使上传html等博彩页面也很让人难受。

  ? ? ? ?解决办法就是控制上传文件类型,设置文件夹权限,不能执行,只能读取等。具体如下:? ?

  ? ? ? ?1、删除Kindeditor对应文件夹下的demo.aspx;?

  ? ? ? ?2、修改file_manager_json和upload_json中允许文件上传类型,去掉可执行文件、html、htm等文件类型;

  ? ? ? ?3、修改file_manager_json和upload_json两个文件名称,全局搜索两个文件名并对应修改程序调用名称。

  ?

  ?