感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文7 X* m2 `8 }! ^) j
: O x( i) O. g1 u) D3 `7 |9 a2 v
原帖:http://club.freebuf.com/?/question/129#reply12
Z% _5 D. {5 A4 \" B/ z. i5 D: M+ w' T) B
FCKEditor 2.6.8文件上传漏洞, ~3 ~8 q$ f1 Q7 p7 s W
3 M: l) s, G/ c( C7 z0 H5 ]
Exploit-db上原文如下:8 S% G, f5 r( f; m5 B" ]
! V! f/ b1 t" G9 S! B0 i& }
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass+ m; m: b+ e% k% a: s& z
- Credit goes to: Mostafa Azizi, Soroush Dalili
) a4 T' l5 m: b7 B2 t+ N! Y; ]- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
. i) j) ?: @. I1 D/ h; J- Description:
) X3 d& ^; l1 g1 H( r6 U9 `' E, v3 P. z, mThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is3 G9 V" `/ L3 Z' m- P
dealing with the duplicate files. As a result, it is possible to bypass
4 j7 L$ ?' g6 j' K- J+ kthe protection and upload a file with any extension. q/ z6 L. m7 d
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/# j+ q) ]! _0 J4 H
- Solution: Please check the provided reference or the vendor website.$ p* `* g, o$ N/ d v+ u2 o
$ c+ G( x% [ x1 l% K5 c- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
" {$ H; k" B' M* [* T4 k") I, d& b0 r& X8 H" Q
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:. Q) K1 N: F4 F* x* M. n$ Y1 ?
$ h$ k$ B% f& Z( y1 `% i- L$ M7 v5 `In “config.asp”, wherever you have:! `& i- B3 k; Z
ConfigAllowedExtensions.Add “File”,”Extensions Here”% {0 T/ T4 _( t3 l( Z+ I6 B: T
Change it to:
% \" x. r4 A! r; X- G2 R ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:7 e! ^$ P5 R2 \ T
D6 x& L) Z9 _# r1.首先,aspx是禁止上传的" d, K9 g( L( P3 r6 L
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
' v; v6 ~# D7 |8 q; m' o. A% E# N" S8 K
8 ]: _, X( c/ q0 X) `' U$ [9 H; L3 ~8 y1 d C
接下来,我们进行第二次上传时,奇迹就发生了
( i: R8 U( z! o& x9 p8 C. m+ ~. G, m" C! }, d- q' k, K) U
/ e. F, d0 K: z
, ^# w9 G1 ?: O7 H& M代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
- f) f0 g7 ]5 h
" Y' P& }- t0 Y1 p/ X
5 b( S3 x, V; i; C6 J8 L8 b- v( {8 l$ E |" [+ \2 j$ v
CKFinder/FCKEditor DoS漏洞
6 Y; t, ]9 J3 q% O% k" S. s% y% g1 o9 N! [0 Z3 V
相比上个上传bug,下面这个漏洞个人觉得更有意思 I' B: | v6 z4 r, |
- q/ A* A. f: [ & l% y) F- k" G6 P* l
3 `6 g$ r3 `- e3 {; A2 u
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 # b: N2 g- l8 Y5 \: h2 O- C
& |9 \2 C+ w* F% ]$ X2 \! e
CKFinder ASP版本是这样处理上传文件的:
6 _' q& S2 J1 U- Y0 R- v# }6 o! A7 G) x6 v8 @+ M
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。! i# e F, A1 u# |& K/ ^5 Q5 {
& a0 M4 |$ q4 M那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)8 R. F" g2 A, n1 O% ]
+ J5 a a$ g/ f* x, z5 L9 ?
dos方法也应运而生!
! u: q, n& d5 O
Q; W0 \7 A- H 1 ^( n9 q- y' }# @9 ?" h$ ~
9 ~8 N4 h" ~) _! m: G8 @; M1.上传Con.pdf.txt: F& k0 `6 k8 F/ U
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。$ S* E9 G+ U. i7 O# B ]6 n9 M/ [
9 ?$ b: [; b6 Q! ~4 D, I% ?# b |
发表于 2012-12-10 10:20:31
收藏
支持
反对