感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文/ E+ e5 ?8 l0 p* s( ~, R+ K
1 w+ e% Y: p: @6 K, P* t
原帖:http://club.freebuf.com/?/question/129#reply12
4 j i% `4 X1 G4 J% V
1 B$ |2 y: L# H( u- L3 L, }, ]FCKEditor 2.6.8文件上传漏洞
* p* b( ~1 r- S& G2 {. A1 i5 J1 d
: I) W7 @/ {3 D6 R0 XExploit-db上原文如下:
, E9 F+ p+ h: M6 f8 J- |
- U( z7 G# T8 u$ R) h' F- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass# O. C0 c6 F/ W
- Credit goes to: Mostafa Azizi, Soroush Dalili
' r) F; l4 L+ F, F' b# M- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/7 i+ W% y4 Q- c8 Q9 D' e
- Description:
9 k2 M" {( b7 J9 V: JThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is* j# ?( O7 o" t9 V
dealing with the duplicate files. As a result, it is possible to bypass% W. q0 F: o% X" u! _3 l3 r3 A
the protection and upload a file with any extension.: y- K% w, a" y6 Q6 l; K* O
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/0 m( ]; A% I$ W( E/ n U
- Solution: Please check the provided reference or the vendor website. z! S0 D5 I" { J
' |8 u- E& q5 e* n |, z) @& J
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720 k" G+ p9 U# C$ G
"; D2 S- S( i8 E) [0 Z3 c8 S
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass: Q0 Z/ W# ~+ R. `0 Z
! Y7 ?2 W6 i) Y) jIn “config.asp”, wherever you have:! t& i0 D. z! g' e6 E* n: h
ConfigAllowedExtensions.Add “File”,”Extensions Here”, @# \& o* T: |3 c0 P1 z" _5 t
Change it to:
* R' _! D* o0 a/ b7 A4 E# \* ]2 k ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚: V$ c6 }8 k! D1 b4 ?6 l
2 }% i" g' s% J! s8 `4 A1.首先,aspx是禁止上传的
, x9 V6 F2 F6 M& y1 z; H0 p( ^7 c2.使用%00截断(url decode),第一次上传文件名会被转成_符号4 V! S" t+ p, x
D2 ]5 I# J; U8 O/ B0 N: ]- @
* C" Q% N. [! X1 G: R5 {
% E1 g0 I4 P4 T8 S接下来,我们进行第二次上传时,奇迹就发生了0 }7 g6 h+ ?3 ~' W) ]" K5 z/ T
5 x4 S9 y& {/ j* J
9 p( p" f+ D9 M( c) {
1 U3 B' V! V- E+ T/ F代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
2 a* ?, r+ Z, B- |* i0 @# r( e# O7 ^9 g9 c1 u- T1 I
8 ^/ S- W5 \- r
6 f! c6 f) \9 x$ [2 a) E
CKFinder/FCKEditor DoS漏洞
+ e4 c4 N \3 {4 X6 {+ d2 \( R3 [& Q
相比上个上传bug,下面这个漏洞个人觉得更有意思
7 j( X, B2 M- z! J- T% _+ Y+ c6 m+ T6 n6 [1 x6 ]* P2 M
, _# w! M. Q3 d; u
# Z+ P N, E- e- i/ d oCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
4 E& n+ ^' X! i- m# Z& _" E+ J" o5 M! Z+ c
CKFinder ASP版本是这样处理上传文件的:
6 \) M$ z0 [& f: c" o! _8 R
9 a9 Q* Q- j- Z( T. Q当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
( ^6 ~/ k, Q% y0 i6 P1 b+ V/ f' W
- J5 f- \( g7 N6 r9 J: e# a: C那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
3 h$ l% R3 C6 z! p+ H
/ N! [2 m2 }# edos方法也应运而生!
1 D' k( B- E; C
6 L7 l+ z0 @& t. Z% P) p ! T8 J& H) l; V' R' B: o
( i3 p, H% Q4 f& L8 t/ G$ u
1.上传Con.pdf.txt
( W* P3 V8 H/ L: q+ P2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
# Z; z' [1 A' u' B6 H4 F: m9 J4 ]5 N1 M% g* L0 P, c0 ^+ N! s4 e
|
发表于 2012-12-10 10:20:31
收藏
支持
反对