感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
# W/ {- T0 x2 E1 }* _- @2 S/ j, }7 |) {0 @# l
原帖:http://club.freebuf.com/?/question/129#reply12
2 L! U G. |4 p0 Q( H8 E3 V1 _9 \& x+ ?" c; E* ~
FCKEditor 2.6.8文件上传漏洞! x/ C$ E ^1 t. X) \) n8 B3 z
. L! t2 B2 j0 r5 |- i8 d- rExploit-db上原文如下:
- d- {% l: W; ]( A2 m' q9 s0 ~8 t) d, k2 @% y& x
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass: Z0 n6 Q. i4 c3 R
- Credit goes to: Mostafa Azizi, Soroush Dalili. V" `( e3 C2 q3 H
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/" P7 M4 n2 B- m$ w# L. s
- Description:
; j' z7 f$ a7 d4 }; yThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
( Q" X" z; }$ L; G% pdealing with the duplicate files. As a result, it is possible to bypass3 @% N3 P f6 S4 v* z
the protection and upload a file with any extension./ V- o$ g% ~3 N9 N* z8 _
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/ N6 O* C& s" ] H
- Solution: Please check the provided reference or the vendor website.- a2 I- W5 \' C$ C6 n. {+ F
: ?/ l/ q8 R( n4 U7 J0 ]
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7201 ]) k; \/ L# e+ j3 n/ P/ Q
"
- I; H2 M3 \. M, z" JNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
: ~' d1 P( z$ Y% Q4 h8 g) q: J- \1 @0 U9 v/ `* D- P
In “config.asp”, wherever you have:
+ J1 z+ R" P! E& I7 A ConfigAllowedExtensions.Add “File”,”Extensions Here”
; V- p8 v D) ]9 O8 J8 dChange it to:- K. O+ T' s. Q. i7 z! d/ o4 G0 E
ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
8 t' B0 k( R5 w* @. i* D
+ a' o5 z2 C6 z7 K* q3 V5 [7 U1.首先,aspx是禁止上传的4 E2 C: r" S0 X* L' N7 h
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
}4 g. i+ H8 j/ X! a, ], Y( J% f
" a4 t9 J" W& A* a1 x. m" E- w, q( e: f0 b/ b
3 `6 @3 F J: S/ d
接下来,我们进行第二次上传时,奇迹就发生了
5 S. R m3 O& h2 M1 @' M" s7 W I3 \6 C; A9 g, n- g1 A/ L" |9 e! | E
; ~5 ~/ p) m& d- P+ {" `5 U) G+ ~: U/ Z# G7 [( ]
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html2 d, B1 P% @9 C
) r- ^" D7 C( h; f) c
4 [1 \' u+ u2 i& ~
7 `4 k' k7 t* N( [" ECKFinder/FCKEditor DoS漏洞
* _4 D/ Z7 s* X% N0 ?
1 H9 l' b5 s/ H/ c: m相比上个上传bug,下面这个漏洞个人觉得更有意思7 q; e: d5 v/ a
1 ]' E- x5 E- D : @& z1 r4 J& k+ K# f9 f2 W4 E
+ r" Z8 ^! g! Q" C7 b; N
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 9 w. ?' S1 R- L. H9 a
, u: e' Q ~$ s! q! K" {" e( @0 m" L0 zCKFinder ASP版本是这样处理上传文件的:
! x( A0 A# L7 P- Z) i* s
1 a& S6 ^ j& R$ d' Q* j当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。, u& n* ~9 p3 a3 M. l
. m6 M' _& N' r6 g
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
6 F9 U9 i& [" k# W) ?- i2 D& t' p
7 A8 |8 E6 k2 ~& p" O& ldos方法也应运而生!
! M$ o( s' v( W! ^
7 e7 Q9 T# m3 Q4 e . Q( k, A! i5 m
/ N' B6 V, l0 d1 P) X) B' u1.上传Con.pdf.txt
1 _6 X0 x6 Z' s5 Q. R2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。6 j) P9 w: h; M" b) {. \
+ V* W3 n; n+ S- V, ~ |
发表于 2012-12-10 10:20:31
收藏
支持
反对