中国网络渗透测试联盟

标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞 [打印本页]

---

作者: admin    时间: 2012-12-10 10:20
标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文

原帖：http://club.freebuf.com/?/question/129#reply12

" r6 {5 s0 {2 y( _FCKEditor 2.6.8文件上传漏洞
/ A  \' t! c; ?$ E
# Z  a) C2 R  g( DExploit-db上原文如下：

- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
0 F5 x$ x3 K. l" B- Credit goes to: Mostafa Azizi, Soroush Dalili
( ^1 y7 L; {7 |! m! t1 d- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
6 A, d. b, C4 D& B# i& u$ b: f- Description:
2 m9 ]& Z' l( JThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
dealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
( H4 ~* P) E: T; n- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
- Solution: Please check the provided reference or the vendor website.
; [7 |5 Q. l" y. \( m  ?: g
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
( h/ M6 p" y& a- Q7 X, S"
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

In “config.asp”, wherever you have:
4 e; U' ~# Q6 R, v( M% r( J      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
8 t/ ^! e* y; _' K/ ~5 K3 i% l" ]      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：

- W; [3 I  C7 S1.首先，aspx是禁止上传的
' p% x7 v- d" \# Y! K' i9 w3 Q2.使用%00截断（url decode），第一次上传文件名会被转成_符号
: n& ^) i# I8 X" s) b' P2 E7 ~


接下来，我们进行第二次上传时，奇迹就发生了



代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
" l$ a& O8 B# i# ^2 }. u4 u  E
- A8 R2 P3 C/ l/ N

CKFinder/FCKEditor DoS漏洞
0 M: C% U$ e' M5 W% _; k
相比上个上传bug，下面这个漏洞个人觉得更有意思
$ u/ f! ~% j: a
1 R' Z" {$ z9 E
8 u: X: @  R0 N$ R: i/ w; Z
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。

0 |; h$ Q0 u8 g% u0 j' k8 iCKFinder ASP版本是这样处理上传文件的：
. T# A* k7 s8 Z1 o
当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。

' u) {7 `: B& S; e$ z那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）
+ I: O/ F# P) o
) I, U/ O/ V$ B1 udos方法也应运而生！

/ }5 i' G/ X# p( \0 [7 T( H1 M* @
2 {3 z9 _3 D% O" T( t
1.上传Con.pdf.txt
. N, J& I# ~. u$ b2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
; c' m, i  b8 ]2 K! ^% ?7 Y
/ o( ^. x! u+ z, {) z6 y' o5 E

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2