找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2682|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
- S, d/ E3 a6 u. m
' K  t' g. ^3 R0 S原帖:http://club.freebuf.com/?/question/129#reply126 h" ?- v+ w) w/ |
8 [. j/ l0 `  t
FCKEditor 2.6.8文件上传漏洞9 A  ]4 F% V( W: w
4 p4 g' ~! `7 E& E; |7 b
Exploit-db上原文如下:/ r; w$ p; Y! `" G
' q* h7 R0 ^8 ]+ G1 w$ v4 G7 [) Q
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
% [' f3 m6 P* v- Credit goes to: Mostafa Azizi, Soroush Dalili
* o4 |) D* W* p9 }- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
0 P8 v0 C/ e7 x- Description:
( ^' ~: D$ J) sThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is+ U6 @( P$ i) k9 ?, k% M7 o
dealing with the duplicate files. As a result, it is possible to bypass
/ f- g- I% e" }6 L0 Wthe protection and upload a file with any extension.# I9 f  G& C4 ^$ q/ M  Q. A3 I- T5 j
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
6 [1 `( \& L, T# t  X; R- Solution: Please check the provided reference or the vendor website.
) ?. b; u& Z6 a" \9 R* h
# `5 g5 x/ q5 \$ d" C- i# o- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
$ M( X1 j  @3 _1 l/ c"5 `  Y) D4 h& [! S  x
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:8 \( R( w- ^8 _/ ~6 R+ A& h* p* P! @
5 O: s2 A1 B. Z" k4 l
In “config.asp”, wherever you have:
, s; {5 V5 ?/ p: f' s; R1 i/ z      ConfigAllowedExtensions.Add    “File”,”Extensions Here”4 X! j. X- I6 j* s; h
Change it to:
/ |) V0 t% w6 G/ X/ C7 `      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:' S! E  M# G5 T8 w+ t
4 E8 g- P" U& z1 B. _! p
1.首先,aspx是禁止上传的7 [0 a8 Y8 |, l' p6 s
2.使用%00截断(url decode),第一次上传文件名会被转成_符号9 ~: ]! x/ I8 l( [) }
+ v8 F) W; {& B. _! _% {
5 y  o7 Z2 e* B( O- A4 B: M
2 {. S; V8 @4 A
接下来,我们进行第二次上传时,奇迹就发生了
7 \# w* U; e5 F: }5 V2 i
; q6 o( C9 [3 X4 C  K- V( w* ]
/ l0 H2 b3 j6 x$ n) ?% }
- b' f1 y) m2 Q% e8 d: e代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
( _0 B! ?  ~4 g$ s* M! j$ M
+ n  m8 z: H% R 8 C0 B8 K, e: \

+ ^3 P3 \3 w' b; B" J9 DCKFinder/FCKEditor DoS漏洞) ?0 q$ w* f& O

4 I" f! I2 S4 H: ]相比上个上传bug,下面这个漏洞个人觉得更有意思, S- U: e8 U' B
+ P  @5 ~( o, a/ {2 V8 t3 l7 Y  `+ P) e
* a5 T; r  r" z  V- C

1 J% t& A- Z' h0 d6 O: QCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
% L. c; c' F: M1 y) b
+ a+ K7 T9 W$ d$ NCKFinder ASP版本是这样处理上传文件的:% U& R/ p% c! H, K

" S* w1 B4 \. ^0 B) r% u1 k当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
/ K% L- J# }) c  g% b
% D5 l2 d- F  E/ G/ \那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)/ A, }5 p: J" Z1 i

8 x/ N5 Y6 H5 U: g9 Udos方法也应运而生!
" T0 w# s  ]- ]6 l8 Q0 c; }: M: P5 ~( R7 o

6 q4 o0 G* n2 w+ ^6 o; Y
% p! M3 p# l9 g2 y; B3 q1.上传Con.pdf.txt. V) Y2 t5 F1 b  m  r& u8 a
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
+ {2 c8 d$ X% i0 T& {" D5 x* E: G& U: r0 _7 S- }! i- I
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表