|
FckEditor 2.6.3 и CVE-2009-2265
Нужно помощь при использовании CVE-2009-2265 к fckeditor 2.6.3
имеется http://www.sitename.com/fckeditor/editor/filemanager/connectors/test.html (аплоад файлов) Притом загружаются тока .txt и графические файлы. Не могу залить php скрипт. Если у кого будут какие либо идеи, буду рад выслушать. |
Уверен, что версия такая же? А может эта версия, но пропатченная, т.к. баг не приват, а даже находится на оф сайте Адоба.
|
Уверен, тем более что контору эту знаю, и ей дело никакого нет до их версий. Сам заходил в их конфиги и смотрел версию, да и по датам всё сходится. Тем более ещё залил картинок 10 к ним в директорию, а они не заметили этого оО
|
Надо залить файл как shell.php.xxx (вместо xxx что угодно главное неизвестный формат)
Бага:http://agel.ru/fckeditor/editor/filemanager/browser/default/connectors/test.html |
У тебя на сайте стоит версия -
version 2.3 Beta Build 1029 А у меня 2,6,3. Там это убрали уже. Даже если картинку в хексе закинуть, переименовать в jpg, bmp, и так далее, всё равно не открывается. Пишет Invalid File http://adzone.kz/fckeditor Посмотри, может что нибудь да получится =) |
Чета с этой багай до сих такое парево.....
Лью shell под именем 123.php.fuj а он автоматом добивает *.txt |
есс-но, это официально пофиксено в этой версии, так шелл не залить
|
В новых версиях при аплоаде file.php.xxx точка заменяется на нижнее подчеркивание "_". Можно ли обойти? И как узнать версию FCKeditor-a ?
|
Цитата:
|
А в 2.6.3 Build 19836 можно еще провернуть, или никак?
|
| Время: 05:28 |