感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
5 j4 n- \' {( A; A- P
+ N! _ e/ i2 v+ i: @8 a原帖:http://club.freebuf.com/?/question/129#reply12
, t3 |. d5 b5 w, |- F7 l# |
7 S6 |$ E8 e4 pFCKEditor 2.6.8文件上传漏洞" M9 m1 l" q" a. X+ E3 v
, I: f- e& \6 A$ j- u! F
Exploit-db上原文如下:" `9 v% t- C$ f! _% C7 [% o
9 J" D4 J7 N# [8 F' J
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass0 M- l, S" A2 j1 U, @
- Credit goes to: Mostafa Azizi, Soroush Dalili
- B3 f7 k) `0 Y8 P, f7 b. p3 l- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/ ^4 J F9 _; K" ], X% w* S
- Description:
) J( D5 z* u& Q5 E ]There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
, U( E# {; z9 b1 A# B2 s, tdealing with the duplicate files. As a result, it is possible to bypass& d9 t8 e7 Y& q! M/ [: y; q2 i
the protection and upload a file with any extension.' e8 r' V/ b* Z; G3 ^+ m d( P
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
& p0 k0 h% a- p; ~4 Y3 g. ?8 z9 N- Solution: Please check the provided reference or the vendor website.
7 P9 h! W' w' U5 c1 z* Q3 k4 l! X1 g* h
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
: P3 r0 a: \' F( J$ p& O T"7 P+ k. M5 e. I" |) x
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
# ^" N* x# j" K9 `6 B% B
" C* ^% a+ R& F: p% M# _In “config.asp”, wherever you have:
5 q% E& f( `, k# \! T ConfigAllowedExtensions.Add “File”,”Extensions Here”
0 |: o' R7 t9 g% d. O, LChange it to: _8 p5 H; j* @$ J
ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
6 b a; @, g3 @' o9 N5 E* I
: v9 K3 x; F: {! y5 `, M* |1.首先,aspx是禁止上传的
/ ?) h$ X: y N% l3 R' o" f2.使用%00截断(url decode),第一次上传文件名会被转成_符号
6 U0 V4 m' ]! x2 X2 ?, M7 k4 g9 t$ l4 `7 S' Q* H5 v' X% a, T
; f7 k7 h$ J8 m" ? O5 Q
: S/ q+ p" ~: p6 J6 D3 P接下来,我们进行第二次上传时,奇迹就发生了# K0 j% r7 v$ F( u: R
0 {4 N: e( B' z$ r# Q
: A+ z/ e2 }8 ]" j% f: M
, Y# n2 G) G6 S6 @/ \4 Z代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
) }. i) F5 z3 y" G a
8 u7 ]) W5 c# w6 q( d3 X5 P% ` 3 C- W8 I) E! X$ u% g) \. U- H" L: f& Z
- F% J- I# b7 t9 }5 JCKFinder/FCKEditor DoS漏洞
/ B# x! q+ e) P5 a/ R4 T) R
% o [: A6 X: d( U- v; Y相比上个上传bug,下面这个漏洞个人觉得更有意思
2 a) D- v* v8 _( h! J$ {4 d' E. K9 I! I2 ^; E
! x8 W4 b( B9 _" W) w2 D/ I) T$ h7 \0 b* \) C* V, E
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
& l/ o) {) b& P' D$ ]* Y! l( M2 n& T% w+ A. @/ ~4 b9 D) h2 O
CKFinder ASP版本是这样处理上传文件的:) u* i4 |$ t, x; B ?
, u% O& ?2 X" t9 `- o
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。! p/ Y2 J* l9 ]1 M
% K* x3 l% ~% A5 | H7 k+ d
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)+ ^" w2 S( v' x3 w1 P/ t" C
- K) [; C/ o6 n+ p, M) edos方法也应运而生!6 M, w! d, B1 Z+ [: ?/ f% }
2 e7 a/ f) d9 J6 @# O& ^0 w
% \( n L$ c2 R- P. i
* Y! \+ ]4 e! c: h; E
1.上传Con.pdf.txt
. g7 F$ D [+ e! d$ s2 \0 x2 q2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。+ x/ ?% c: h% j! h: C0 k( X2 Y
# `* C4 O: |, i/ |1 H: u |
发表于 2012-12-10 10:20:31
收藏
支持
反对