感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文, B1 V4 i% I' f, |
7 w3 R* m+ b. F" Y% @0 @
原帖:http://club.freebuf.com/?/question/129#reply12
6 \5 d/ }" S( p2 P- g/ C' h1 Q4 B
5 d/ \( S: p1 m/ ?+ v, p- CFCKEditor 2.6.8文件上传漏洞
1 x, i F0 ^) _6 E+ U( D( w4 ?4 m" v
Exploit-db上原文如下:
& v* R, P2 A; a5 n: H. h9 F. Y0 b w; s" X: ]
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass Q7 J x; v& |- P& N$ W
- Credit goes to: Mostafa Azizi, Soroush Dalili/ \3 M. W4 S3 `9 ]& |$ z7 \4 m
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/3 B6 z8 t+ [$ L+ Q3 G+ I
- Description:
w0 F) ^7 ^6 D n5 f w( L' DThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
p' q$ b) \" Idealing with the duplicate files. As a result, it is possible to bypass& U. f- s# K+ G9 g/ y
the protection and upload a file with any extension.8 P$ `! ?( T0 u! S& C+ n
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
( G6 v4 |( B2 u# p- Solution: Please check the provided reference or the vendor website.
$ y; p: x3 K# A5 @7 q' P
0 a& M/ T' y3 g, A% f- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
1 ^2 o9 `" \& D"
( B' w( ^0 B' _Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
7 H1 v- {5 j) [; P! b' y K7 \8 Z7 {9 [9 c! J
In “config.asp”, wherever you have:
) i' B8 ~. o2 N, n% X2 q3 [ b ConfigAllowedExtensions.Add “File”,”Extensions Here”
! S7 U- h) W8 sChange it to:) [& N# j; a; i8 g8 X8 }7 x
ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:) j9 @" k# c9 }. W
3 }3 U+ q! ]2 E# {
1.首先,aspx是禁止上传的
2 N, u* F4 j8 r2.使用%00截断(url decode),第一次上传文件名会被转成_符号' i# U7 G1 \8 \# `9 @* L8 W
2 {1 i& }- ^( i- I" d' R
" h/ ^9 I) b) f9 m5 Y+ A0 d6 g4 k$ c: M! d: W: H
接下来,我们进行第二次上传时,奇迹就发生了$ Y. S% W ~7 V3 v; a' v& o
, i2 F7 c$ H% V" G
# g6 W+ u3 N- o( x q2 s- j7 x! N/ \6 p) W7 m2 X' [ n
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
% L4 _9 Z x4 t& i# O/ t7 K* n9 F# Q! Z! Q5 |, d) j p2 b6 Z+ {
% u4 h) \/ ?' F! X: U0 R
8 h; x* W" { {
CKFinder/FCKEditor DoS漏洞 M k6 X9 R8 x I8 w
' E5 f3 K5 ]! l
相比上个上传bug,下面这个漏洞个人觉得更有意思7 K) n, F3 n5 h: o" x( ?
( u6 x. j' z7 a& m2 g- |6 U! O9 O
9 ]0 Z0 r( l U: f+ B2 B
: Y9 G' W. p1 ]# _7 sCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 7 @- @% [5 I& [' f
: B9 t" v' W0 d5 KCKFinder ASP版本是这样处理上传文件的:
1 w; }4 V; A/ K0 `+ [1 H
- l. r- i# n: b+ x! i当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
; p/ i# y; q8 o! Q) ?
. y* m z2 f8 z( y" k那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)# A6 ]. Y1 N+ q
: ]3 T/ ]! Y: f6 r$ s
dos方法也应运而生!# [' O* ]9 P# U- q
5 m1 Z; R' w9 {: N3 n2 |: v9 b) x
" ~* _* t3 G- B3 p: Z
( @# `) l' K( F! [% H1.上传Con.pdf.txt
5 J8 |( E! v; o Y' a. G) `2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
1 z3 O4 B- i G1 V9 O
$ k6 z; ]- o* n |
发表于 2012-12-10 10:20:31
收藏
支持
反对