找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
返回列表 发新帖
查看: 3409|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
1 {: O/ Z7 x0 z# w8 s. `( B% g% g0 A& J8 c
原帖:http://club.freebuf.com/?/question/129#reply12
8 B4 B8 g0 \0 s& R  u
3 o% ?; T' Z9 i9 A7 l1 WFCKEditor 2.6.8文件上传漏洞
! Q8 {7 Z: F1 O7 A9 T$ b: ?" ^. T8 w4 L0 i; q  H# s: c
Exploit-db上原文如下:
% R! |9 T* [2 E  a. n; a8 v
% A6 P, ]/ @! d" R( ~+ c  {' ?- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
1 R+ a& {+ A" o$ C: H  g1 ~- Credit goes to: Mostafa Azizi, Soroush Dalili. R( t$ j1 P! A5 r
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
% \0 D- x& ?: `; C4 W2 B- Description:
5 F) I" s' w8 O+ U7 x8 xThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is( \$ i7 x; v3 n: l3 \9 r) E
dealing with the duplicate files. As a result, it is possible to bypass9 k4 N" e3 r* l+ Z/ }' Y' k$ O
the protection and upload a file with any extension.3 E* z: c* ]. Z9 K
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
: C. i0 ?8 t3 a: A- _- Solution: Please check the provided reference or the vendor website.
6 Q, L+ ]+ ^' d( _% t) l
8 f7 H$ E' \, V+ F4 ]9 v- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
5 }8 w' v& \$ C3 W& |" y, N$ u$ R") @; Q, c5 H) l8 K* N7 e3 H" |
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:; ~; X- ?* T/ i9 L* ^, i

- @9 F6 `0 ~" JIn “config.asp”, wherever you have:
* z, f3 J% x- g# [; a9 I4 N7 Z      ConfigAllowedExtensions.Add    “File”,”Extensions Here”7 n) [, `' \: ?2 ~" B6 P
Change it to:
6 r9 K! p% {# E3 F+ t      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:; M- n; n. X6 O: Y6 w2 x' v. p

4 |+ N, O! w( w: N+ }6 k5 Z1.首先,aspx是禁止上传的
% S1 N- E9 y2 N) G' N2.使用%00截断(url decode),第一次上传文件名会被转成_符号
- B" I( \. P5 b: @. T& r4 i8 l6 Y% B2 I
( W! M$ P* T9 \# a! L) V
; _7 V. h1 L1 z1 U
接下来,我们进行第二次上传时,奇迹就发生了
! b2 Z6 t, A  w
% r- j4 b0 ]& U( I1 N" Y) A% Z0 O2 P; _

8 C8 P* r1 F& `- c6 p4 j代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html1 x5 N3 @5 u9 g0 \% Q% }5 X
1 C1 g- D7 s# i0 x& M$ B/ J0 N
' T2 N+ Q/ A) [1 x' w- u  N+ S7 Q
& g' y9 h3 t# |, X" N
CKFinder/FCKEditor DoS漏洞8 b$ v8 U  e' k$ ~: o" i  `( }

- M! R* L7 X+ K3 Q& b8 V相比上个上传bug,下面这个漏洞个人觉得更有意思7 f+ q0 L8 ^2 v$ V

3 z6 F6 C0 m4 D7 V4 G. x& S 1 Y, s. `. P, R+ E, l: u

* B# f+ r5 J$ w+ SCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
& T3 n! x* F4 l! m
6 J& T( ]# E  g* ~. MCKFinder ASP版本是这样处理上传文件的:  o1 \) o0 e( T  N/ D; F) _% I& V4 e7 l

- j) l6 [+ Q8 }+ y/ C; q5 k2 ?当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
# d. h0 J0 Y0 q- ~3 ~5 |/ {* l
1 }* t, I; d  O0 v; L: S. N: Q4 B那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
# g9 Z. I# B; H# D
  ~9 {2 S; u- Vdos方法也应运而生!0 f  ~6 j. M3 t

4 K4 \& V/ q7 r
; W' y( Y/ l, g! C3 d/ r1 G2 d5 d- B* k9 i
1.上传Con.pdf.txt; ^' R0 s% j) E* A* \6 h. g9 [
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
. p( n) u* I& X4 C) d  c8 Q. i4 J1 S: k( d# h
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表