找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2697|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文$ `9 A; }, V4 p

8 P4 `8 k3 {$ m4 h; j原帖:http://club.freebuf.com/?/question/129#reply12
4 I/ V5 p: ?8 H  n) `% c! n  P4 e  K' V- l1 N4 t. ~# H
FCKEditor 2.6.8文件上传漏洞
" y; F5 T/ H" @" J2 B; u& K' m/ u! @* I; l7 Z  Z
Exploit-db上原文如下:7 y4 @* `9 M- r6 E- A

  F  \4 c6 y1 M8 V9 R- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass6 i( Q7 v7 |" O2 L
- Credit goes to: Mostafa Azizi, Soroush Dalili+ B* q3 E9 d  K: \( n- p$ G
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/% ^" R  d6 |& u* U5 x# ^
- Description:
. R4 K3 M$ k9 v1 M4 z; K, u. FThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is' f* r# O9 l1 }/ U- q
dealing with the duplicate files. As a result, it is possible to bypass
( J. O. l6 j6 J  \. I  ~the protection and upload a file with any extension.. T% b% c4 I! V$ [
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
" K* v( _8 f6 i/ Z! T. P( v" U- s5 {- Solution: Please check the provided reference or the vendor website.
* j$ R! g' d/ w# d) X2 I. O" L0 M+ P" N' f( v. |+ }& q9 z$ [  v, }5 e
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7200 n' W& Q7 o( [: a2 ]1 {# m
"5 M& y' ?# K* D
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:5 q/ @/ g1 d( {% @" _  P% Z0 C
9 N: p; q3 S. c+ c. {6 |* e
In “config.asp”, wherever you have:
+ H) E4 ^  u  |6 i# ~% F8 e      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
2 K; Q- _: h$ W9 L, fChange it to:# q* D* A' k# D' j: ?% u3 N" p
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:) Y' I# K0 c( V
, J$ S- h9 L' E* c
1.首先,aspx是禁止上传的
. Z6 P0 c. ?0 c" g# B: Z2.使用%00截断(url decode),第一次上传文件名会被转成_符号
, `. K5 N: O, i. _0 A& `+ M$ Z8 P2 I' A) j. U& }( d
$ b: [( u% k' l8 p  F

$ C) M+ H8 ^" d# R# O6 a' ]# t接下来,我们进行第二次上传时,奇迹就发生了9 E3 i) L" C: u0 G& q( K$ c3 l

9 D' y1 W9 N3 l% J2 b# j4 L6 E6 R7 H; b2 F- a+ f

4 K7 V1 j8 j2 h+ s代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
/ l6 v! O( p0 M1 u8 ]8 w
( l, u+ N. g1 K& i
2 a# d3 ]( I, h. m4 X/ G+ e  N( h) n0 W) u  q* I# ~3 W, g0 K
CKFinder/FCKEditor DoS漏洞0 b* s8 D% `' {6 D  \

" n7 a2 |0 \3 c) C* }% G相比上个上传bug,下面这个漏洞个人觉得更有意思2 C3 t* o' Y, W3 X$ l/ ?$ @
' n; C% ]9 r9 e7 v+ I. l0 u7 G  C

  j0 k+ ^1 G/ B& i/ D
1 Z3 i/ _( K' p$ N& I* iCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 6 a! n5 j7 g% P- h; y4 J9 \8 r! }, C
  j+ B9 N- j1 P; W  M
CKFinder ASP版本是这样处理上传文件的:1 Q$ X" J5 A* _$ `6 f( v

2 b4 T) N$ E0 ~  r. t, Z' O+ A当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
2 p9 x6 r2 T( N2 d
) S- `! `" Y* a* _# w) x那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
3 P7 ]1 q' Q$ f" I% c( b0 T
6 B# A; p9 ]; E% A% D/ n7 R$ y8 Ldos方法也应运而生!
# X) B5 O4 T' ?" \& i' t  y# p  k. R4 ?. ?0 T( G* ?
- E# K  b; F+ F# \6 Y& C/ |

( H7 h" d) _9 x, Z1.上传Con.pdf.txt/ @" h( [" @# _9 H2 J8 A
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
( [" g+ D! w6 I- T7 F9 M, ?7 ?8 R) v
7 l# T8 P$ R) R: i
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表