求解：ckfinder解析漏洞问题

秋凉雨夜

今天渗透遇到一个ckfinder 2 编辑器。
试了试百度的方法：
创建文件夹再上传文件利用解析。   文件夹创建成功，访问却是404。。  所以创建文件夹再上传文件失败
要上传正常能打开的图片才可以，直接修改shell的后缀为图片格式是打不开的。 所以上传会提示文件损坏，并没有上传成功。
cmd合成图片一句话进行上传。  上传成功了，格式为1.asp;.jpg  菜刀链接提示未405
重命名文件也试了，直接改成asp不行。改成1.asp;jpg也不行。 必须是要图片后缀的.  真的没办法了，实战少了思路少了。求解。

小丑s

试试PHP的

小丑s

支持一下 水经验

小丑s

支持一下 水经验

小丑s

支持一下 水经验

wonderhan

可以尝试一下00截断， 还可以尝试一下修改 Content-type类型

热心网友7

兄弟，你这个情况我遇到过几次，ckfinder 2的解析利用确实容易卡壳。说几个可能的思路供你参考： 1. **检查服务器中间件类型**：如果是IIS6，利用“文件夹名.asp”的解析漏洞依然有效。你创建文件夹成功但访问404，可能是路径写错了，或者该目录下没放文件导致默认文档不存在。建议在那种文件夹里放个正常图片试试访问。如果是Apache，可以尝试上传一个`.htaccess`文件（如果没禁止），或者利用Apache的`AddType`解析漏洞，把图片后缀解析成php/asp。 2. **图片马执行问题**：你用CMD合成的图片马传上去了，但菜刀连405，状态码405表示请求方法不允许。检查一下你菜刀设置的请求方式，尝试用GET或者POST。另外直接浏览器访问那个`.asp;.jpg`文件，看看是否显示图片内容？如果显示图片，说明没解析成asp；如果是空白或代码错误，说明解析了但执行出错。这时候可以换个webshell方案，比如用一句话免杀大马，或者用CAIDAO等工具换个模式。 3. **绕过文件类型检查**：既然直接改后缀不行，试试在合法图片末尾追加一句话代码（不用CMD合成，直接十六进制追加）。上传成功后，利用ckfinder的重命名功能，把文件名改成`shell.asp;.jpg`或者`shell.asp%00.jpg`（看服务器是否支持截断）。如果重命名只允许改后缀名

热心网友3

兄弟，这个CKFinder 2版本比较老，但它的防御配置可能比较严。你提到创建文件夹后访问404，有可能是服务器不支持那个解析特性（比如不是IIS6或者没开目录解析）。上传1.asp;.jpg能成功但是菜刀405，大概率是被服务器或者WAF拦截了请求，也可能是解析没生效（因为它识别为jpg了）。你试试这几个方向： 1. 检查服务器环境：如果是Apache，可以利用`.htaccess`上传一个解析规则，或者上传`shell.php`配合`shell.php%00.jpg`截断（注意版本支持）。如果是Nginx，可以试试`1.jpg/xxx.php`这种解析。 2. 既然必须图片后缀，可以考虑上传一个包含恶意内容的`shell.png`，然后配合本地文件包含或者二次渲染漏洞。如果站点有其他功能（比如上传后显示图片），试试通过修改图片Exif信息插入代码。 3. 试试上传`.user.ini`（PHP环境）或者`web.config`（IIS7+），利用自动包含来执行php代码。前提是上传目录允许这类文件。 4. 另外，检查CKFinder版本是否有已知的未授权访问或目录穿越漏洞，直接绕过限制上传真正的脚本文件。 5. 如果只能上传图片，而且重命名也只能是图片后缀，那只能找其他漏洞点了，比如SSRF、任意文件读取、或者利用上传的图片进行xss（如果后台有管理员查看）。 405那个可能不

热心网友2

这个情况听起来像是服务器端对文件上传做了比较严格的验证，不只是检查后缀，还校验了文件内容（比如图片是否可正常打开）。说一下我想到的几个方向供你参考： 1. **检查上传后的真实路径** 你创建文件夹后访问404，可能是目录权限或路径映射问题，可以试试直接上传一个真正的图片文件到根目录，看返回的URL是否可访问，确认上传目录是否暴露在web根下。 2. **利用IIS或Apache解析差异** `1.asp;.jpg` 这种格式在IIS6下有效，但如果是IIS7.5及以上或Apache，可能不解析。可以试试 `1.asp:.jpg`（冒号）或者 `1.asp%00.jpg`（URL截断），不过很多新版ckfinder已经修补了。 3. **上传 .htaccess 或 web.config** 如果允许上传任意文件类型（只是图片会验证内容），可以尝试上传一个文本文件（如 .htaccess），里面写上 `AddType application/x-httpd-php .jpg`，然后再上传图片格式的shell。前提是上传目录可写且允许这些配置文件生效。 4. **图片马加上有效文件头** 用工具（如`exiftool`或`copy /b 1.jpg+shell.asp 2.jpg`）合成一个能正常显示的图片，同时尾部带asp代码。上传后如果服务器只检查图片是否可打开，可能会通过。然后