感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文3 G8 g2 I) _/ G( X
/ ^. B0 r8 K7 x: K0 k原帖:http://club.freebuf.com/?/question/129#reply12, d' n9 C6 e3 h% C: o
; ^! W5 g9 Q2 Y$ d) `
FCKEditor 2.6.8文件上传漏洞
+ J: d3 _# b: }( X
# h( @# v1 ]7 N I8 fExploit-db上原文如下:
H- {* v- @8 N! B9 g* m& h
& z! P: M" M' s. g) M5 O- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
8 _% M n6 `0 o; c- Credit goes to: Mostafa Azizi, Soroush Dalili5 R: N) P( t$ K. g- n$ }
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
" M$ ]) B" O. J* c: p& y" c+ e- Description:& X3 T/ o8 {: Z/ U5 f
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
6 u- U: z) S+ ~) ~# adealing with the duplicate files. As a result, it is possible to bypass2 c$ R8 S( T" O% L1 _7 @+ y1 ?3 x: G
the protection and upload a file with any extension.
! W3 k/ j$ t1 L" \# O9 \$ g+ m/ `- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/7 G9 Y V1 v4 u! @% F0 h- r
- Solution: Please check the provided reference or the vendor website.6 N: [# K" x& U: y
1 M9 d* ~) Y/ T, C( W
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720; V1 X1 J% f4 M, {/ `
"
% s t- V, f5 w1 ^; l* }) gNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
$ b! o- x( ?3 W# z! [. Q/ D( _# I# e$ i y1 L
In “config.asp”, wherever you have:: {. G5 q: `+ O/ z1 d8 y
ConfigAllowedExtensions.Add “File”,”Extensions Here”6 D7 |0 {2 m3 N+ D! s7 l
Change it to:) U4 }+ a, F, ~5 n
ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
8 O5 n4 d2 j3 t0 s* E+ }6 s' S8 e: l, U" {0 A8 J$ Q
1.首先,aspx是禁止上传的
: C1 Q9 g1 _& G% h) ~2.使用%00截断(url decode),第一次上传文件名会被转成_符号8 {7 R0 b. A+ R6 P- j0 j0 d
2 E' x" V: u5 Q+ s, t$ n
5 Z# M- s* _8 e" {
4 ?1 R. _( D, w; W, L, d& E接下来,我们进行第二次上传时,奇迹就发生了0 Q! }7 F" e+ J: I5 D1 W
6 i1 Z4 A# Q1 U" j0 [( k! j3 s: g. }7 p* S9 i
0 n7 y4 ]- |% s
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html5 c2 y. v$ G' r( a4 e
+ }4 S8 e& z# x; H+ X
" a5 W; W% ]* w" p: ?6 G# k3 R5 n- X J$ v
CKFinder/FCKEditor DoS漏洞
& i' [; L: u7 c# Z5 y
* f* p4 r z, z& u相比上个上传bug,下面这个漏洞个人觉得更有意思
8 U0 v9 ?. `1 [) ?7 O3 y4 y7 F1 `! t' L* C4 }" y3 E
7 M) m: b4 p5 S6 X( ^; Y \; v
6 ^. Z2 ? q1 l4 qCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
7 V( x+ y4 Y1 p$ |% b. s
! E: j. b6 ^5 n1 ]CKFinder ASP版本是这样处理上传文件的:: D9 r& W( u1 P. h* l
8 c4 b! Y1 d1 Y$ V, V+ \6 ?) V i. y当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。9 C5 [+ }' k0 p+ N+ p; x* k/ d4 Z
- d- f3 O$ P' l' X那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
1 F: D& {5 d2 q0 k4 L" m; L
6 t0 P; m9 v+ ydos方法也应运而生!0 L& G$ r7 z# C. I1 N, g p
! Q; G, i: o) d+ C* t& { & `( X0 o0 v5 u* k8 k b
% w. f/ t# G0 A+ y4 D; d7 h2 b
1.上传Con.pdf.txt
! v! S! ]9 N5 |* D, K2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
& v4 k. Z7 S2 }1 a+ T9 ^" K( h: y/ S, u2 i2 L2 T
|
发表于 2012-12-10 10:20:31
收藏
支持
反对