感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文2 J8 u' X% y: c
- f( @* H1 v9 f% I; X
原帖:http://club.freebuf.com/?/question/129#reply12
" Z. x3 y; g0 i) U" E j7 V) f# C. D- a( B
FCKEditor 2.6.8文件上传漏洞5 ^+ W @& }% [6 q! y
# d2 Z. i" ~" H4 z' A+ R
Exploit-db上原文如下:3 N# ~/ `: k) f$ p# ~- ^9 s
7 p W% p1 S! |6 [- k. b7 a- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass4 ?, W7 i2 R- A9 F9 q9 O4 J
- Credit goes to: Mostafa Azizi, Soroush Dalili" c* ~" Q" ^/ y) J! ]1 {
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/* T; w6 y4 n! ^3 i. l$ x% C W
- Description:
" j+ X5 p* l, s7 y1 D0 AThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is( f! W# d G, y
dealing with the duplicate files. As a result, it is possible to bypass; j( y4 C- Y( H
the protection and upload a file with any extension.
! b8 T/ U+ _' }( E( g: P. j1 F- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
x! i+ C/ R' y4 o: ~- Solution: Please check the provided reference or the vendor website.. e% l+ E: c: X' U/ N. [
. i. B+ B1 N# G- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7201 Y* f/ R2 N/ }! h+ r* S' Q
"
. N; b, M2 ?4 r; FNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:% p e( F: J! q. ^9 e0 }: }6 L
# }. j. U; f2 ]/ r# IIn “config.asp”, wherever you have:5 N) k% v2 [' U7 G C: T
ConfigAllowedExtensions.Add “File”,”Extensions Here”
" ~& E5 G* K2 H& R3 L) V$ iChange it to:
4 q% V0 K3 W7 D. } ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:. M7 s+ w8 \- s: x2 h
+ Y+ u' _2 H: {) }1.首先,aspx是禁止上传的* d c8 m. J# m: a! g
2.使用%00截断(url decode),第一次上传文件名会被转成_符号& S, `1 l# d$ I% i/ }
. p" G* T7 Y. H/ S
% r1 L, _4 } [3 Q5 R1 ]" ?
: M( a4 |) X7 v5 j- @ \- e* v接下来,我们进行第二次上传时,奇迹就发生了
6 C$ L- c" U; \3 P& F5 Z% b2 s# U- G! n
4 J. A' v" D- }5 k! Y
% s3 C+ A7 Y- b3 P" ]- g代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
% W R8 g5 [; b$ ]' l1 }% D6 o
! A: L+ b$ q U+ | ! Z [4 y! K# g( m
& d" e3 a# o9 G9 v! f! t/ B4 E
CKFinder/FCKEditor DoS漏洞
[9 x" D M4 o! J
) Z2 k0 A) C) _# M/ a相比上个上传bug,下面这个漏洞个人觉得更有意思
" r! B2 m' a8 X3 b5 B# q% _1 T, H
( S: i' S/ Y* D* X+ I
3 @: \, @7 R) V2 F$ ]CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 % r; F. h P. F) \1 W8 r* U
" F) {% f: Q6 N: P) I" G: }CKFinder ASP版本是这样处理上传文件的:3 t1 w/ Z7 q$ M3 X \- i* D7 Q
( y/ R- l2 R- N* k4 D+ U/ `
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。- o- s- s0 \; _6 ]. s6 X) [
6 W1 C/ u' }9 d l( S那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)! [# F& j0 f; L" J; |! o5 H: ^
% d/ n# O; J- x4 A
dos方法也应运而生!" }( F( E6 Y! K3 u- d9 k
7 y7 Y& C' B5 K" l/ {7 d6 h% G- C" T0 I
1 Q6 l. A ~7 K
- e+ l; K% Y+ ]/ D m: W; `1.上传Con.pdf.txt; K' j% x$ g( u" ^% n" {
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
5 V k" I6 b7 ~. y2 A. ?) n4 b- r ]3 n, E, z6 s& q1 l
|
发表于 2012-12-10 10:20:31
收藏
支持
反对