感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文7 Q* B- N$ N- Q+ w3 f& H4 T
, h8 D8 i( [! I2 @5 c, R! @7 ?
原帖:http://club.freebuf.com/?/question/129#reply12
. F* Z. O0 T/ e& N1 @+ L: m! e$ ^! u+ X" |! P( q O
FCKEditor 2.6.8文件上传漏洞
& g& e1 N+ k! c- g. @5 d8 u) Q( m1 m' S
Exploit-db上原文如下:
* `( u* S( c% r9 S9 j* Z+ F. \0 I7 |/ M! y% ~! ]
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass: U. u/ t' ]5 c7 b$ q7 Q; V
- Credit goes to: Mostafa Azizi, Soroush Dalili
6 S% ~7 B9 r% d; o/ `; y- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/7 _% Q) z2 S2 }% a5 A- z" l
- Description:/ @, i l/ g- r; t; i) i
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
, p b5 d% r$ V! N* I: I" c/ r! bdealing with the duplicate files. As a result, it is possible to bypass
# f0 Y$ b+ Q* ]* p9 `the protection and upload a file with any extension." E6 N/ a- n# C% K* h( y0 `3 M
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/0 m% a* ]( h0 D' C+ f9 ?
- Solution: Please check the provided reference or the vendor website.
, ]! } z' R3 y2 b |" G/ T
" i) F. O7 o6 d5 L C z- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720! ?% P" M" l+ e; U) n
"
8 I: |/ `# c0 c( w/ SNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:8 w/ m, x2 ]; O% B! o
! l8 j H% M- P" r4 D7 a& R4 Q
In “config.asp”, wherever you have:
$ Z$ y& N1 N( V ConfigAllowedExtensions.Add “File”,”Extensions Here”
4 \! \$ _- i8 O$ C# @Change it to:
, |. L5 a9 M# Q+ K ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
2 o. ]5 U3 u6 b2 z9 u
% b8 `8 i& F+ q. M) P1.首先,aspx是禁止上传的& f) c' @" {4 P: ~
2.使用%00截断(url decode),第一次上传文件名会被转成_符号# ~- E# \2 c; z5 Y7 @0 [
6 E1 D2 C3 |5 q% z% ?
' \+ J) }" d( [( ]
- \1 f8 a/ X- T- r8 V接下来,我们进行第二次上传时,奇迹就发生了
- S! A: ]5 ~9 ]* J* E, ^2 t4 r+ ]0 b# ^! ~% N
6 \7 l' y3 x& y4 y+ X
# b/ ]2 Y% W" v8 m, N# i( K8 D代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
! _+ c1 h$ ]) h) q% u9 \8 M9 F
/ f! J3 e. u. C5 \% i2 i
4 v! l/ ]3 ?- {* x( C
8 j1 c P4 U* Z* a2 lCKFinder/FCKEditor DoS漏洞
, G. z) h3 |% Q) s2 |! D# ^
i. x+ N/ ]3 v/ ?相比上个上传bug,下面这个漏洞个人觉得更有意思
+ ~4 V0 q7 D8 J9 h# v# r* p
* z* b' P1 E% Y/ ^) V( h( z9 d# V7 `
3 o1 B0 t2 X; R6 U( }* ?/ r, I8 B, u7 q4 D# s& u& x3 z. T$ {
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
7 D. K. R* Q; j+ ]9 E2 r* c* j! }3 f* }- }8 Y! m* v3 G
CKFinder ASP版本是这样处理上传文件的:2 B7 ?" t0 E1 R9 l( c
9 d. |7 S* J$ Q' `3 i, _$ d当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。$ T2 w( `/ n' @( G
# U+ }9 X; P$ E5 t9 i/ ^那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
& C9 J5 e7 z: g2 k! T
* k( c3 Z! r! a/ kdos方法也应运而生!
! E2 @8 C# n) o$ @, }
# a; }2 r& `* @& D% e2 d* H% k/ s% C9 ^& } # c) M( u) j# Q! G5 c! V1 p- \( O* \
% E; x& E c; A& m0 [
1.上传Con.pdf.txt2 G/ l3 V" Y8 a
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
6 g2 | \/ ]: W) `, G. K3 n, H( g! O V- A( B7 x M4 L* p- K6 B" B' P! w& \
|
发表于 2012-12-10 10:20:31
收藏
支持
反对