找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2631|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文1 m7 o" ]2 r/ R) L1 W
* N) B3 A6 E5 Z' z
原帖:http://club.freebuf.com/?/question/129#reply12
& m: |' b( l; n2 o* n% P  \! u. h+ H! S5 D
FCKEditor 2.6.8文件上传漏洞( a! K7 W/ U! y

6 q0 u* _7 U1 K9 N$ T1 \4 BExploit-db上原文如下:' _# u4 E) u5 Q6 c2 V
8 `9 M% E) @6 e0 ~2 u
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
* Q. q8 m' R7 c6 j- Credit goes to: Mostafa Azizi, Soroush Dalili
9 l$ A  |/ f7 B7 }- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/  }/ Q9 C/ h7 P: f" q
- Description:5 @/ |- d' r  o$ x1 o
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is" R# h3 b2 |1 a4 z( Q$ L7 k
dealing with the duplicate files. As a result, it is possible to bypass
$ R  `6 l( |0 ~' f+ u: l1 sthe protection and upload a file with any extension.
3 n% n7 U/ x+ ^- T7 y- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
* S/ b0 I% y' ~' Z& l- Solution: Please check the provided reference or the vendor website.3 z+ M! t* g- x

: X- w, t& O0 {* e* `. P) T* c- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
8 t1 L2 r/ d# |1 H- Z"
6 e! M1 B  Z' g1 r8 H' eNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:9 R4 H! y$ x9 o6 r
) b& ?  F- S: y, ?0 S1 b
In “config.asp”, wherever you have:
8 k! M" L: k$ u9 u5 b% S      ConfigAllowedExtensions.Add    “File”,”Extensions Here”. k) c' Y, \0 w! r
Change it to:
- }3 A. q7 L" U! Q9 B$ Y: G      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
! ^: \# d0 g0 F3 d9 i. r8 I  C' L' I1 b: r1 i! ~
1.首先,aspx是禁止上传的
6 S* \& c, s& `9 ^/ B& Z2.使用%00截断(url decode),第一次上传文件名会被转成_符号
8 B8 q$ C6 B4 Q9 A% ~8 m
- G5 e5 V1 W. e
+ r' i8 R% O. K5 y3 L2 y4 S+ T5 ~
接下来,我们进行第二次上传时,奇迹就发生了" D3 k( v! u9 ?5 N

9 k1 s6 }0 x0 h. b% B0 r+ N9 B% H( a0 Y2 d6 Z' M& V/ _/ A( ?) n  E

, y3 I% Q% y0 E* U% l9 k' x3 z代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
. R  p& R8 D/ D% d$ f3 Y6 Q
/ f6 C7 Q/ @/ [  q. d
  y. V7 O3 o0 a/ n* ~" v
* v4 v+ N. s' ]' _9 ~CKFinder/FCKEditor DoS漏洞2 V* I$ g& b/ G6 e
2 `6 D% [1 Z1 \6 R" q! j. o0 d
相比上个上传bug,下面这个漏洞个人觉得更有意思
. }- z7 J3 J2 o  X3 v6 H3 H
/ n; _' S, i9 [" T7 T
" t0 d" j9 k; r  u; |0 n  ?' q6 X9 l' r, W" a5 N/ j& S( _  p$ ^
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
; s& c  e. G  Z' l, [( d! X
+ e, H/ u4 d( y% t$ OCKFinder ASP版本是这样处理上传文件的:% _/ X4 M( X) ?( M& W/ v3 e
3 C: B  B0 V* k. I: i- h
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。* c0 I9 Q/ [, ?2 h, n: z% m
% x5 k( b1 u9 J9 t9 ?% c$ d
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
1 C9 i. w4 j9 E3 E2 {5 D2 M$ O7 P/ a; M. I" V' s
dos方法也应运而生!5 a  f, @8 H( I3 q3 V' j
4 x1 K7 I4 N3 Y9 }( X! b4 u. o

- g. B5 G0 ~% |$ p! M- e1 n4 ~/ y
7 _9 j* n( l  Y* E% E# ^* j1.上传Con.pdf.txt- O, R- F! k. {8 G7 A# l+ R
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。2 x3 u  l; Q. r8 z

) P% C* B. ]: _, L
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表