感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
# D8 i1 q) ~. y4 D& ^5 \7 H. g/ A2 F! H* V. x k
原帖:http://club.freebuf.com/?/question/129#reply12
) } U) h* U# W1 B# b
5 w7 B9 N. `3 x$ Z. U9 n( S0 t2 \FCKEditor 2.6.8文件上传漏洞9 m5 t; L* x5 g/ x* B: U" G
) b6 g8 _2 k3 J. d# NExploit-db上原文如下:
# V2 w* v+ i, ]* l0 a3 {! t" v/ j. A$ R$ C+ u, }' n7 U; Z
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass. r% _0 @" ?3 D2 Z! \6 @
- Credit goes to: Mostafa Azizi, Soroush Dalili( i8 w7 h' y, }/ F
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/! W4 [$ R; S P: }1 b% L ^
- Description:8 ^) F9 Q- m, \$ C
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
& n/ g: b7 J% i$ O. K% Y* e+ M4 xdealing with the duplicate files. As a result, it is possible to bypass
9 w( s$ r3 Q" i, w3 ?the protection and upload a file with any extension.1 ] W" F: A6 a
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/ x6 W7 u; t) K- }- v
- Solution: Please check the provided reference or the vendor website.! A& }, a6 `/ v) T0 C4 G
+ q- J! U9 A+ S1 ~/ |+ C) d- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7208 d& N6 ~8 `9 d2 c, ]
") A, j* P- I1 G
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:% |$ r" B" P1 A$ x
# ]4 T4 x, q3 JIn “config.asp”, wherever you have:' |( O! N+ k! h$ Z) Q0 A- C
ConfigAllowedExtensions.Add “File”,”Extensions Here”+ h3 |/ }' j1 n4 J2 h
Change it to:
" H/ V% K' |, c- s# {/ w, ? ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:# {6 G/ f; [0 u& L6 A7 t3 J8 t- T
y' J$ A1 Y3 l3 }- Y4 @- r1.首先,aspx是禁止上传的 m7 T7 a, @8 w: r
2.使用%00截断(url decode),第一次上传文件名会被转成_符号2 w; N2 [* T$ p5 w" E/ ^
9 ^) s/ u0 O2 [! {" W' f
; z# ~$ W9 F( [' r& q' l
. m! k9 h+ ?5 B/ J9 Z" G- [" H接下来,我们进行第二次上传时,奇迹就发生了
$ n& u4 z8 H! k* t/ @
* G# L# H1 f$ Z7 r- O4 ~- z% A& {% G! h
1 ]3 Q% L9 J9 b, U1 q; r: Z
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
) Y, [" H r& m- D4 w/ t
! k) g" c& F) n , K J* |. A* E, Y' U
9 `! }* J: }6 d S8 hCKFinder/FCKEditor DoS漏洞$ p: J4 Q) v. t( I- ~8 u
% ]3 k0 _* V5 F4 J6 M* ? j
相比上个上传bug,下面这个漏洞个人觉得更有意思0 [ |9 t8 C5 }7 E5 `
. E# A8 V( D& m9 v1 N
2 G, e1 Q* [0 e4 U. V9 b
- {- P7 B7 N8 U7 D! {0 G, V
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
9 \. F1 G7 g0 z7 w
# B/ V r1 b0 V5 L4 uCKFinder ASP版本是这样处理上传文件的:
5 H' Z* |2 e% u& { x! `
$ n, X, H) b/ G6 h当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。9 s2 e& L9 o2 t7 s
( U4 w9 x% o$ v( n+ k J4 b
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)7 l; k8 v( h: \ m
0 W# J& l1 N# A- k6 v, n6 m2 s! C
dos方法也应运而生!4 D" M, A/ U; T2 J$ p9 F
& d2 y4 q( \* O
! k5 C/ P' l. t; J, Z( b2 x' u+ T' N0 h5 S/ U" G- n7 L7 \
1.上传Con.pdf.txt
3 Z$ L+ o- E" z$ Q5 r8 c2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。& f2 }0 z j4 L; D3 x1 r3 s
- G: K& e6 Z2 |+ W% k, M |
发表于 2012-12-10 10:20:31
收藏
支持
反对