中国网络渗透测试联盟

标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞 [打印本页]
作者: admin    时间: 2012-12-10 10:20
标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
1 k* ^# z8 @% Z: r$ [$ f7 \8 x
& ?: u) K& \6 \3 o. r- H) J原帖:http://club.freebuf.com/?/question/129#reply12
( F5 T( c8 g' ^; [- H- r  }& K" x5 i4 _6 |4 s5 I
FCKEditor 2.6.8文件上传漏洞
5 R7 _$ f" v1 F
4 N# m$ g3 x3 }9 B- J+ D. |) {Exploit-db上原文如下:
0 Q8 k4 c  O1 {' x" K& X. R- I/ Z( b' s
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
7 T$ W! I  M" U+ k8 }. u- Credit goes to: Mostafa Azizi, Soroush Dalili
6 b8 \) K8 X- G3 K1 `- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/; _9 p* {( |, o& X; f+ B
- Description:
& f+ h5 K! X9 q4 r. H: PThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is$ S. N& @- U8 s1 o1 M: s+ g( j
dealing with the duplicate files. As a result, it is possible to bypass
  d& W2 X- [: k. @  wthe protection and upload a file with any extension.
9 V- }) S3 V; p+ X' [- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
8 i4 ~/ a* X* O( R/ D" D* u7 W- Solution: Please check the provided reference or the vendor website.
+ ~, f* Z) M4 G7 U& v9 p4 w, w2 d4 C5 j9 X( W' u
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
* x# ?3 F1 w2 _2 I/ w"
9 d2 T2 L0 F  x- {0 eNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:7 E0 n4 t! {' B7 |

2 Y( j, c: |. A: }2 z. _: y  A, aIn “config.asp”, wherever you have:
  L1 z: T" S) g5 [4 C6 S      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
7 y: ~" g& ~7 |" gChange it to:. u  T0 u' ~: G
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:% S* [. Y1 x9 S$ L$ ~  {8 S% w' S

. E0 I9 H: y" ]  M, p8 J: p6 P1.首先,aspx是禁止上传的# O% n% E3 b% a  s8 y
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
% H. F* C# P5 J/ a8 d$ J& Y5 e8 u4 p  v! x
; S+ e+ |" ~% v4 X
4 t7 d, Q# n1 Q& u) w
接下来,我们进行第二次上传时,奇迹就发生了2 G( |  O2 @/ v' k

9 J7 A% ?: l1 G1 F/ a9 T  g. H
3 g# V6 n$ X3 v+ \% I! i4 a8 h/ Y/ v; U3 F9 h$ W0 p
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html% Z8 g$ ~0 {1 K5 K$ b8 c6 v

: z7 t7 V( A/ f4 y" Y5 V1 y1 i
- ~% `9 p6 }1 Y/ `* l2 @& ~# Z. e$ W) K, B. ]3 ~( p8 u
CKFinder/FCKEditor DoS漏洞1 Y7 l# `, t0 X
# {( |8 O, g+ {% w6 P) M
相比上个上传bug,下面这个漏洞个人觉得更有意思
) Y* l- u& B; @3 L9 O/ j/ F
/ C, Q* Q' h5 q; N3 X- H2 \7 d / |/ G/ P- O( M. h. l- j

3 u2 j. L. U3 I- ^+ \1 {CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
& x' l" b. R- E  l* j
% ^  u9 c5 O! S" H9 Q4 iCKFinder ASP版本是这样处理上传文件的:2 _! A# {/ S2 o' c( F" E7 m

! c6 K/ k& k+ u. w; J6 x当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
1 v! ~8 F* f5 w3 T; C* y; {
0 H% L/ s0 ]' V: i4 F; |5 z那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
, D1 e8 u0 o) m% E8 U5 T$ u* G5 b, _* H5 R% m# e# N# w" l5 L
dos方法也应运而生!0 `5 z( z% W6 g( X' l

& i# R. \$ _( L1 n) N 0 Z; z7 o, p: p# x

7 h% p5 q) u% c0 K1.上传Con.pdf.txt% c! h, Z/ G7 D
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。7 {( @$ C$ j, V  i, n- l2 t

& V# B* y0 H+ P( w1 z



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2