感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
9 I" Q% w' a5 k m/ f+ O5 ^. U1 r/ X8 h7 P5 y
原帖:http://club.freebuf.com/?/question/129#reply12
3 \ d, Z8 R; o
% G5 b" j, r/ y) G" R& IFCKEditor 2.6.8文件上传漏洞
$ I1 S* {" t6 R( S
% `, y G% g2 e( V. [% wExploit-db上原文如下:
, C( D s, D4 _$ C3 L8 N5 N" q
8 }: h+ Y: I. `# e6 i- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
4 u' ^! k% x6 o! J2 o3 h- Credit goes to: Mostafa Azizi, Soroush Dalili
) k, Y+ ~ T( A9 h7 H* ?- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/( h5 x2 |* U3 l. J
- Description:; C3 [4 I" R5 L
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is$ ^7 M) ^, y; D% k* _9 o
dealing with the duplicate files. As a result, it is possible to bypass
. C1 q2 }4 b0 M# Q2 C. vthe protection and upload a file with any extension., {' F0 E. V n
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/; q8 Y9 i+ V3 U# q7 y1 `
- Solution: Please check the provided reference or the vendor website.
; y/ Q$ [2 a6 s- [0 L# J+ W
; A1 `. w4 o/ A# }6 u- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
/ k& V$ z Y D' W4 {* h"
8 }' Z) g; D/ I6 ~' I% q+ z* KNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
3 D0 B# T% b L, U# s0 x* z/ Q ^5 j$ b' A% g2 [
In “config.asp”, wherever you have:# n2 n+ E4 Y1 K% B
ConfigAllowedExtensions.Add “File”,”Extensions Here”
3 X) m" h/ l3 {+ `: DChange it to:
* S7 g* ?5 F( w( q, Z8 H; }+ c ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:" j8 e0 e* p' d! u5 T- g
% C: p' J1 {3 a. q
1.首先,aspx是禁止上传的
* r/ @; d. ~& i. Y- r2.使用%00截断(url decode),第一次上传文件名会被转成_符号: ^' r Q3 V9 s# }' s
1 v5 ~5 l+ C- ] g+ @1 p6 H6 A. R7 y( g" r y0 s& W
) r, ]" @/ a5 B( d4 G
接下来,我们进行第二次上传时,奇迹就发生了
+ ]' n# D, w( H8 r8 o8 }9 E3 N4 Q' U& Q w
2 W% _1 ^! I0 H
) t3 j! y. l* U& Z g; p' z代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
% u+ a' w6 i' [
! G. p$ z, j5 [& E7 R5 M' x & g0 f2 z) h3 }6 F5 L
4 }* k9 x, P1 x7 a! YCKFinder/FCKEditor DoS漏洞
6 {/ ?% V0 t3 U% O+ h0 o0 {. u0 @& s% y
相比上个上传bug,下面这个漏洞个人觉得更有意思7 B* h. n6 f4 U" Q. V
/ M# l2 J# U0 k# ?2 P" ^3 [ : r0 V) u" [+ g. L
4 V4 w1 ~* r2 D! |
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 * ?3 r4 F3 c% x
% X/ e, U6 A& c0 d& q- ]) D
CKFinder ASP版本是这样处理上传文件的:
3 Y; M$ f8 U- K2 V" F
) d) Z; v; s" F6 s当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。+ c w" _# G9 [, y- y
! j# I8 I0 H; Q0 e. ^# S
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
r+ w' P% j5 K5 C3 X% _2 B3 @) Z# V
dos方法也应运而生!
! s" }4 S. r& K9 _. `' z0 ~/ ~
; S- A- E8 ?. H: X$ y & f/ Z: D6 m. @
; [( J* V5 k; V8 _9 V$ S. m
1.上传Con.pdf.txt
9 f% f- J5 v0 D; U9 _ \3 c2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。' R2 s# I$ r: C1 u7 h( u
# z2 j4 h8 z) ~8 C; o8 G |
发表于 2012-12-10 10:20:31
收藏
支持
反对