中国网络渗透测试联盟

标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞 [打印本页]
作者: admin    时间: 2012-12-10 10:20
标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文! g0 i9 @& N5 N6 z6 t# y

* W6 R$ `. v3 A原帖:http://club.freebuf.com/?/question/129#reply12. ?$ c  X' _  ?
4 y# {  Q( ~" `" a, S
FCKEditor 2.6.8文件上传漏洞
, B6 f" K1 m* K9 _! w1 e; {. D  T( w- ?6 h$ i! v8 R
Exploit-db上原文如下:
+ K0 K1 O8 q) D' X$ b
% T# S( `+ R5 p0 T+ [; X# g7 [; ]$ ~$ n- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass, j! ?. f% ?* U1 e- A( F6 b$ Z" {
- Credit goes to: Mostafa Azizi, Soroush Dalili5 |" o* b- u4 s* ~$ f
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/0 @8 z" c# g: U+ V6 Q; Q+ X
- Description:
( I$ i. S( x9 X& t7 \1 ^$ o% kThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is3 N0 I8 K( c7 u4 Y! W; d
dealing with the duplicate files. As a result, it is possible to bypass! P- i/ K- A0 `4 }% J% P
the protection and upload a file with any extension.  ]5 Z6 Q7 ~) R- r  g3 f* |3 s
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
6 p/ a8 E4 L& U- Solution: Please check the provided reference or the vendor website.: a/ @* ]) b) W/ G  D* n
7 a* c) q# Y2 e% L, u, o$ ]% V  b
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
' W# e% y$ c) `. g7 i8 _"
, D+ y1 [/ o3 A6 yNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:' A+ m  C" c. `
' c2 L6 w* b* M2 {+ R
In “config.asp”, wherever you have:8 ]7 d' m  d+ \' U& @9 q2 ?
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”) `: v# h" C' X' d
Change it to:* \, S" h; C# s* O3 _2 }4 J% P
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
( P+ h9 ]3 }7 c- ^9 H& R  x* u& B! `% k8 O9 {
1.首先,aspx是禁止上传的
) Z+ w6 l* u+ a4 i* F2.使用%00截断(url decode),第一次上传文件名会被转成_符号
& P" @. |1 g8 j# ^2 n' ~
% B/ B2 C% H8 Y2 B& B% z; H
7 E+ I$ P$ E+ `) ^! f7 V4 `
; A5 W, a0 \0 h8 p* j2 }接下来,我们进行第二次上传时,奇迹就发生了6 [7 L: A- C) z& M

. i6 [  O# h: G3 ~& |$ [
2 m  Q4 U7 g( }5 @3 Z/ m+ b
7 \4 u# a  _& R) y代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
) J! c6 x6 g2 u7 A
$ k9 }5 F6 _# ?- W 3 M  g2 J6 w, k. `" V  b0 s
8 q: w$ a* l5 `, `- T
CKFinder/FCKEditor DoS漏洞
+ r! ]+ H( l$ L& D2 _* v. d. S. W! f4 D) E5 {! P' k
相比上个上传bug,下面这个漏洞个人觉得更有意思
0 R1 V- j) t9 ?5 c2 p& \/ J2 R, E
  l. M( ]9 B. H
" n3 D; \$ d- J5 a% T1 ^
# e8 D7 H6 x# [7 V2 r' ^4 K/ qCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
1 y* d8 d* E. p
7 P) O( C- s: ICKFinder ASP版本是这样处理上传文件的:
) w2 n* u! p* j7 K! L
6 E2 g1 l4 l& d& _* x当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
" X4 B( F" d+ x7 T
+ m+ s4 C' e" {3 S  ]8 l那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)0 i  H/ {% Z  O' m5 F
& v# y! d0 N; N7 n# _6 u
dos方法也应运而生!
$ ~4 Q$ O8 |! u+ P3 t* a% `& n) G: n, O0 r. d7 J0 @. U; C
4 z0 K" u/ Z0 X3 m! i8 a
  c0 X) x% Y. m: I' W' j1 f8 C
1.上传Con.pdf.txt
# _3 H0 d6 s. K2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
6 N# }" }1 J! M4 ?' O$ V: d) N7 P: u$ U6 h3 d9 b




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2