找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2625|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
8 i& [6 B6 L: |0 o- W( \( r: N; o9 R
原帖:http://club.freebuf.com/?/question/129#reply12, `7 n; c6 f# o$ B
* G* m8 G. Q0 i) x. p) c
FCKEditor 2.6.8文件上传漏洞
/ w9 ?, p3 u0 Z# f6 m# ~; n$ q- f/ _. c9 E# p4 K" {
Exploit-db上原文如下:
9 i8 W$ {& \5 g9 r' L7 \% o' n/ r) `* n
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
: x$ Y1 P8 E% O% Q- W- Credit goes to: Mostafa Azizi, Soroush Dalili
& Q' @* q7 ~, Y- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/. A- P* h) Q4 \, S: t: |4 I
- Description:# Z7 D, p' z9 e) M& U- R
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
) T1 a& g+ B) o' odealing with the duplicate files. As a result, it is possible to bypass3 T4 y. `# T) x/ N& L
the protection and upload a file with any extension.  x& z6 \0 D1 I$ D
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
2 |* W& [6 Q9 K' J- Solution: Please check the provided reference or the vendor website.# k2 Y0 I  k) n6 N& I

4 W- m6 |( d8 ~: F( D# ?( c5 v8 ?6 w- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
: D$ `' @- k$ B5 i7 t8 N"; R7 y9 C: d, j; r2 {& [" P, Q
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:5 A# F" _! z0 {

7 \/ h/ @2 H  R+ O% o3 mIn “config.asp”, wherever you have:& z7 b7 m& i3 C5 U
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”- n( s( ?# x, e0 F' ~" [+ A3 A
Change it to:
$ j( l9 ^8 F7 {. n! Y5 l% h5 q  n      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
& p; d8 M! ^, [" V2 [9 @: Z/ O, |9 b6 O  I* W- ~1 A
1.首先,aspx是禁止上传的
' s8 o/ Z6 q! O& G2.使用%00截断(url decode),第一次上传文件名会被转成_符号3 ?" j! o0 }* _# e2 t1 D- P6 N
: C, a4 n( G8 [" h  X5 N1 l# K
) M2 c) x, I) h9 D" V7 P) f
2 U7 h) t8 e9 J) X0 O; w
接下来,我们进行第二次上传时,奇迹就发生了/ ]/ B8 R* n' m- m/ Y$ O( X) S" k
/ l' m: B  O6 Z& a+ e$ e. I2 I/ i

1 {- A8 V7 x! F9 D5 ^
+ \. s7 i3 N& i1 O代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html- Y( z5 v; g6 d

' k  M1 I2 M2 t1 J: M% k% B 3 p! o( F1 K. H1 C

# s7 {" O: V; @' f/ [$ B6 DCKFinder/FCKEditor DoS漏洞. c  Y' s0 W1 u' {

+ f# a3 K3 _1 R/ N( ~! U4 g! \相比上个上传bug,下面这个漏洞个人觉得更有意思
: S  P; Q7 M. d( o) J7 |- T. A% `& C; ~
) a) I* C8 [9 u$ y9 Q+ W

& k6 D& @4 X/ u8 U1 TCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
- @* N8 l0 S  M1 v
$ {  ]5 {+ }: O) j, G* xCKFinder ASP版本是这样处理上传文件的:0 {+ H$ v' K' @) I
! J$ `0 M  `0 m0 K1 T* {
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
" _) c2 [- q6 b* c  ~4 N5 F1 N
; X# I" z& D- P! p* }那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下); B% J! v: Z) k! ?9 v3 A

5 T. {* r, ?1 K0 W# [) H  }" Udos方法也应运而生!5 s6 m% c# N/ ]3 n$ k4 ~1 i$ L* C: q
. `6 U  q6 ]( m) T! E! O8 J5 b& i3 r

5 \* e* N7 z$ X/ P$ h
0 \& [$ ~" m( a  A, f1.上传Con.pdf.txt
$ _; y, L  X4 D: D2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。5 q, Y! \3 i/ [" V
! s; X$ v1 a/ q. Q: P1 f6 w
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表