感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
/ E- E6 l- s2 @0 G! J8 e( O) d R4 b- x
原帖:http://club.freebuf.com/?/question/129#reply129 |5 g0 l3 _# z$ q# c) o1 v0 z
6 i0 L) j Z4 ?: a$ p! S4 \2 N$ G
FCKEditor 2.6.8文件上传漏洞0 ~: y, J. ^" ~# k1 q: n9 g
2 @( e, s# g" Q8 v6 x! Y$ B6 m8 t
Exploit-db上原文如下:7 }, ^2 H- f" h
- X0 [8 |1 c8 n- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
. |7 m& D m4 W7 b0 |" O- Credit goes to: Mostafa Azizi, Soroush Dalili
* t* S2 ^9 N$ z. [1 ~0 @4 J: J$ ?- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
: [5 Y6 g* R: k: c- Description:
, w! M q& _) M7 z+ H7 BThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
( j1 Y# I' o! N1 Q& vdealing with the duplicate files. As a result, it is possible to bypass; q; t C7 u7 f/ o! Z4 s6 y0 k' F* w5 _
the protection and upload a file with any extension.( d3 b% o f# R* t8 J' q! s* H2 H9 X
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/! c# x W: S6 Z7 t2 N M9 M) W1 D$ k
- Solution: Please check the provided reference or the vendor website.
% @+ t; q+ u' m q; I. u+ G1 k9 K! q" t2 X
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720) n! d1 r7 ~, @. b4 w4 ~. n' Z I
"
^6 N v' M/ yNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:( F, H% e2 b8 x0 }
3 G y$ }/ C. a
In “config.asp”, wherever you have:7 Z4 w. x- b: o! o
ConfigAllowedExtensions.Add “File”,”Extensions Here”# a' O4 v! K3 m/ \% R+ Q3 r9 Q4 ]
Change it to:4 ]% n0 R3 {& D' N& H1 _' ~
ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
1 J* `2 ~; j \ ^' C2 a+ `4 y! L$ Z& B9 j2 m z K( u4 f! q
1.首先,aspx是禁止上传的
s+ I5 B$ u# z! P2.使用%00截断(url decode),第一次上传文件名会被转成_符号3 M9 [$ V' J6 ]2 U; o: V
s2 A* k; f* c1 T6 o3 @4 N* N7 ~
% e. l, L) H( j [$ u! k
& R K. k6 a9 i* q! ~, y D接下来,我们进行第二次上传时,奇迹就发生了
* P. P) I3 p2 V" j
& j: V2 D/ t" t% b' [
5 B0 N; ]" n$ c2 G9 F) K- t8 g. s' k. m
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
7 u7 z" S4 n9 M( O0 m+ \1 b# L3 N! B3 [0 k
5 l& @" T3 I; o! K" U/ h0 c5 b/ r$ v4 R' J: C
CKFinder/FCKEditor DoS漏洞+ p' G [+ L- J3 r- j& Q; M# Y" x% o
# A8 [5 w/ R7 M/ d相比上个上传bug,下面这个漏洞个人觉得更有意思
) ?* L3 F! E- C
' f% j n7 i" [7 d& ~9 f# A
, h8 s9 x- r# u1 i& h! t: E* }9 z) H$ I. z# d( d
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 - t4 w% J- k# I
8 p3 I/ W- h( ?1 DCKFinder ASP版本是这样处理上传文件的:7 D. O& \2 Y' h l
) L" d9 V+ K+ g g' Z/ z2 }; f
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
+ [2 z/ a7 ^. m6 y4 {/ a: k) l) y' J
/ R# {3 |& G& s1 c5 L3 p* ~那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
, w8 _0 |7 V2 u+ p% c
+ I& X; j. E. l" N" y) Idos方法也应运而生!
1 t9 v8 `6 ~( s8 j9 n6 ~) R; s+ i" [) z
7 P1 V; }6 E; @3 _3 k; ~7 @2 q4 W) M: L& L3 @7 F8 ]6 ~
1.上传Con.pdf.txt
) v4 u3 T" D7 ?+ ]" B. C, G% Z8 C2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。& H7 e. D4 u& ~- q
+ M- _) v( v3 T, G$ r. q7 E
|
发表于 2012-12-10 10:20:31
收藏
支持
反对