感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文7 A: ^$ p" `' T# M: M: ]; I
* Q. W) B1 [0 U3 s6 r: ?+ G原帖:http://club.freebuf.com/?/question/129#reply12
- ] T3 p3 t f( d) X# l- u# O; a. k# g
FCKEditor 2.6.8文件上传漏洞2 \/ r: A. Q% c( l6 s7 ], q
3 z3 ]( Y9 S; ^5 wExploit-db上原文如下:
* g s1 X( t& ^. ~7 L$ t1 a: }+ e& n& `& b
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
4 J9 V5 i2 A+ n) D" ]- Credit goes to: Mostafa Azizi, Soroush Dalili
: S' P4 Z( Y6 f- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
9 c+ m# d! V5 X2 h: A2 k7 p- ]- Description:) G$ f# p, q7 h* q3 H1 @7 v4 M
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
8 n! r* V3 @# h4 u5 h9 h* ?dealing with the duplicate files. As a result, it is possible to bypass1 g7 T0 r M# N% d
the protection and upload a file with any extension.: P# c' u7 y- r( H7 i4 @
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
4 Y" Z! Z* v) B5 s5 i5 q9 Y, w' y- Solution: Please check the provided reference or the vendor website." V- Y4 R/ _( P: b; G$ H; B
* [8 Z. k; N6 w) Y D
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
3 r, q7 M/ ~2 S \"
( d3 V. W. J- iNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:1 { O" Q5 f* }" R$ |1 t8 O' x
- ]4 g7 G- L2 T& Z! y7 `
In “config.asp”, wherever you have:& g7 G8 n& N# o9 \6 ]; V
ConfigAllowedExtensions.Add “File”,”Extensions Here”
; x) _2 w [; I4 W7 N lChange it to:
8 R' _" u# O$ _; b2 i ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
1 R3 L" @& }5 B) ~, H
( {" w9 t3 b V9 g1 C1.首先,aspx是禁止上传的
+ K& J5 k% {. R, W& H2.使用%00截断(url decode),第一次上传文件名会被转成_符号8 ~- d1 ^( s# Y& E7 V3 d: {
: ^" Q( A3 @: M) W" ~ x f3 F: k4 F1 z) m# J. L I2 y0 _
, L$ o2 f2 P6 J! @2 y# ?9 \接下来,我们进行第二次上传时,奇迹就发生了
: ~0 L& c9 v3 g C/ C; e1 B3 X! Q4 f9 U/ X1 e
Q0 \7 R X Z3 h' d1 Z0 L
6 g+ `3 Y1 ~1 ]
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html& Y- i8 x& c7 O3 {; S. s
: D. M3 u k5 ^$ p# n0 I! z ' i$ q0 f# h3 Y& [. T
4 {, @% C5 l4 CCKFinder/FCKEditor DoS漏洞
2 _( @* g4 w/ u! u3 y1 {0 ]2 `/ K, U6 A2 B- j
相比上个上传bug,下面这个漏洞个人觉得更有意思
- l$ `, d5 A! c" h- I/ G& V* f# B1 j
Z/ b. V* X/ D" r; p( v
- h" _2 O1 E( p9 ?" H$ ^' WCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 ' j; |0 B8 e- M1 h
: f( j$ E4 J9 B8 S7 G7 WCKFinder ASP版本是这样处理上传文件的:6 Y* K/ m) [! ^' \
$ ^" Q# M8 W$ O& k当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
) k1 C. f/ k; T E( `4 H m, A$ P! g1 |. D$ U
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
4 E% a0 e3 H6 ?: h9 G6 X& M0 x) A# j# ?0 h1 P" B
dos方法也应运而生!6 M1 U' N+ J1 {" M. V) V
: C* g! H3 {" N7 f& t
5 F- c& R$ S# Y1 |" {0 [( A6 a% p' x& ?
1.上传Con.pdf.txt
( q8 n% M* F q) L) b5 x2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
! } v! F$ w8 U% h }" x
+ ~9 v- b" \" U6 Z& B6 G |
发表于 2012-12-10 10:20:31
收藏
支持
反对