利用FCKeditor之%00截断获得webshell

    网上关于fckeditor的漏洞利用教程都很老了,基本上都停留在2.4.x版本之前,但是2.6.x版本提的却很少。(FCKeditor2.6.8应该是它代码重写成CKeditor之后的最新一个版本了)

    现在针对2.6.8之前版本利用有一个%00截断的漏洞,但是都是只言片语(基本上都是转的一个人写的),唯一一个视频还是国外的,在youtube上需要翻墙才能浏览。

    于是我才想做一个fckeditor2.6.8版本上传漏洞获得webshell的教程。不多内容有点复杂,我就把它做成了视频,这也是我第一次录视频教程,希望大家能够喜欢。

    点击查看原图

    教程是实战演练,渗透测试的站点后台含有fckeditor2.6.1版本。我会在教程里给大家演示fckeditor老的漏洞利用方法(利用IIS解析漏洞),已经失效,并给大家讲新的利用方法和原理。

    最后说一点,我们渗透测试的目的只为了学习技术,帮助管理员查找、修补漏洞,并不要把我们拿下的站点用作非法用途(如挂马),我们要时刻谨记黑客应当遵守的原则,祈求一个自由开放的网络世界。

    教程下载地址: http://pan.baidu.com/share/link?shareid=279209&uk=403168834

    相关软件下载地址:https://www.leavesongs.com/soft

相关推荐: CommonsBeanutils与无commons-collections的Shiro反序列化利用

这是代码审计知识星球中Java安全漫谈的第十七篇文章。完整文章列表与相关代码请参考:https://github.com/phith0n/JavaThings 上一篇文章里,我们认识了java.util.PriorityQueue,它在Java中是一个优先队列…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论