找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3024|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
6 l" K! M6 G& e% S# t) o2 Q' e7 J0 [" {
原帖:http://club.freebuf.com/?/question/129#reply121 @1 _$ O7 W. N5 ?: g6 w( R3 [
& }6 q2 Q6 {' o: m( H8 p
FCKEditor 2.6.8文件上传漏洞
. Y7 x( H# l7 a
% ^2 t5 }9 H* \9 G) p% P3 K6 d& sExploit-db上原文如下:
+ g0 f, j- _% `) p; _! l, @0 w9 i( I7 b+ Q3 N
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass+ Q; b8 G3 c/ e4 h6 }
- Credit goes to: Mostafa Azizi, Soroush Dalili7 ~* y3 y* x  A' a- b
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/8 [7 [+ Q6 A/ @8 O, F6 X
- Description:
0 X6 Y) @7 k$ h; fThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is+ x7 P! H3 M+ o+ n
dealing with the duplicate files. As a result, it is possible to bypass
- J( V" [# o; [0 T7 C& y+ ythe protection and upload a file with any extension.
" n+ f8 r- ]' q- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
8 R1 {; \1 ~$ A- Solution: Please check the provided reference or the vendor website.. B- _( v$ B* O" Y

  E0 x& L3 J1 d. I+ W* Y( M; R- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
$ `# V9 m. w* s"% G0 h" B. G- o' O3 w
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
' O, O! P: e! i
6 k8 ?* _/ a0 R! d3 k9 w6 e  Q2 SIn “config.asp”, wherever you have:
* b( I$ B# E! I9 i8 q* |      ConfigAllowedExtensions.Add    “File”,”Extensions Here”: y$ C/ w+ d7 C+ L. Y
Change it to:+ i+ C/ v; n  ]9 u7 K2 Q/ A$ j9 `
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:6 t* q% y8 L7 U( K0 I+ m

: \7 l1 h: q) J6 U' V2 k1.首先,aspx是禁止上传的
! f/ `3 J3 K7 |' h/ C& r" }, `2.使用%00截断(url decode),第一次上传文件名会被转成_符号9 d# X1 t2 `& c
4 r: E2 `9 D# |* J# w
! S3 w( [9 ~% a+ {" ]& z

, z2 n/ }- B% c' R: _接下来,我们进行第二次上传时,奇迹就发生了% h0 j# Y; F) x8 x' @$ H

  l( t) b5 i! Q0 e8 g3 m* S2 I0 c% U8 [7 J# I. x% t  X5 R
1 A6 W! R! K0 ?
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
" W& D' z: y" D2 E$ q
' C, D. e8 e+ Y6 o- \ . Y8 O5 {. V" B

6 [: \, [3 t! G% NCKFinder/FCKEditor DoS漏洞; L! z7 A5 n$ n0 h- {
+ ~4 Z9 x  m6 h9 o
相比上个上传bug,下面这个漏洞个人觉得更有意思
5 R) u2 G# @  i9 Z% L7 U; W( c
+ V! y9 u" ~! B' I
. V0 M9 B7 _6 B) r5 |& o2 F  l
9 ^7 `9 @; w5 l$ d) E' ?/ Z% fCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
! g2 e1 {7 u  a
" d, |8 n, S1 Y  X, l+ p9 _9 TCKFinder ASP版本是这样处理上传文件的:1 Y% j8 a) a# a  ~4 \. R+ P
5 z" i! ^  Z' E0 P( r, l
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
* [7 P7 D" ^9 V* T1 S2 A4 t8 W* W) I1 `9 h
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)( `" A( D- P! }, I+ }$ z# Z% f) h
! Y  q6 ^3 p& K3 F: }8 z4 U# |4 f
dos方法也应运而生!6 R0 G; e; E# f% _/ u

% G) ]  J/ C# A) A7 A9 [
1 D5 l$ r7 x; M, Q+ b& r! i( p' X3 h. L* t( k; s
1.上传Con.pdf.txt" U  U5 R7 X6 |# H; F5 y
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。  C) F! m/ s$ ?* ~- z/ x! H2 w
( O6 E* H& Z  v3 q: ?2 T
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表