感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文+ G( `/ D: E& B. b
# H; m9 C0 P1 d; k: ~0 ~原帖:http://club.freebuf.com/?/question/129#reply12: m; j3 M) r2 ~! V+ C" S
, z9 k5 t* l& EFCKEditor 2.6.8文件上传漏洞 H6 {% J6 W# v$ Z1 o |0 n
- l) S1 q& P- G6 v+ i
Exploit-db上原文如下:) H4 Z4 G1 }3 {8 f1 ]
2 ~! f, X# Z, q6 f2 I- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass: R% l8 } v! Q+ _4 r6 K
- Credit goes to: Mostafa Azizi, Soroush Dalili- ~+ \$ L2 N6 R: ^% `# f+ C! Y
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/6 x3 ]6 A6 N- m. c& ]
- Description:# _+ k4 n: p! w
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
: Y( O5 U3 y9 }) Cdealing with the duplicate files. As a result, it is possible to bypass
' t0 J9 G* s; h1 {% G& H# v# i& wthe protection and upload a file with any extension.. d2 ]" z. L, B, u
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
; J0 ~ f8 m/ r- Solution: Please check the provided reference or the vendor website.
$ m2 Q, O: H1 O$ \
; ~) ?+ q- D! C; j6 k) F3 r- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7204 a' S" t3 F0 e. J/ P
"4 h) \8 C/ g) i2 Z
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:) q% U8 P4 M8 ]( s3 B0 C; P/ W. R
9 n- V& Y6 Y! C; `4 PIn “config.asp”, wherever you have:
- d# I r4 R2 i( N ConfigAllowedExtensions.Add “File”,”Extensions Here”5 E7 u% \" R- n& B
Change it to:
4 j! h' o( u, N; p T& `$ p8 T6 N ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
# Z( z; D7 j2 q; _% p+ v6 E1 x
) c+ b* k& E# o1 O# A1.首先,aspx是禁止上传的' {; e& S: I) F0 s X6 f
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
0 j/ U+ ~. Z" H" J1 F! n. i) q0 q* U( O0 v
" K2 Z' e, o" {+ m3 C) B. P/ v8 ]4 ^' h! Q9 Z) \- R
接下来,我们进行第二次上传时,奇迹就发生了( L: h: _1 i& X8 J& B
& o, G$ u/ P" m# a# w! p
9 L8 E5 B* K) Z/ f+ G/ l ?3 Z" i
( ~) C4 B) S4 ^代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html8 h: B1 @7 [8 S* _4 H
7 y- E4 Y p5 O+ ^- R5 o5 s, \- K$ [
5 A6 x7 O3 \, j2 ~0 A
7 j) s6 `( a1 E& }CKFinder/FCKEditor DoS漏洞
0 @. ~- g: U) e& d: N& Q" Q1 B) v( g( p% l. l. R: r
相比上个上传bug,下面这个漏洞个人觉得更有意思
/ Y2 H/ Y6 ]% L- [; ]: \' H
, C' H9 n' U) A% A
9 p, P" v! h9 Q. l; C) f
0 O* X6 V0 v5 WCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
7 ^# _% Q3 p# T. e3 M
' A; {( _5 v3 ]# V0 R' p! W/ ACKFinder ASP版本是这样处理上传文件的:
/ [# ~6 S! B. M, z1 |4 w
( F1 ~1 G% j4 S# h# k当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
# j0 s2 @/ [* E& |2 F" }4 ?- w( G3 `% G8 y* P( i3 S. T
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)- V4 B: N* o) j5 i9 l; D
) G9 h" K. I# O0 V% e
dos方法也应运而生!- Z( Y& x) {% K3 X T
0 c( D, d; ]6 S. C8 Z
i% V- s& i9 W7 x' h3 Q4 P" A+ W$ a5 q# a) ~
1.上传Con.pdf.txt+ b( H" M# K4 o0 O$ Z, s
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。- `0 N6 n! Z. \& }
" I8 W7 K p' J# E/ y
|
发表于 2012-12-10 10:20:31
收藏
支持
反对