感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
1 I* F7 j `4 v# w& {) l* Y l3 z* [: G( W/ X
原帖:http://club.freebuf.com/?/question/129#reply12
/ J3 s1 q; i; U6 K! {# t0 F: y U7 x8 H; Q- F1 j0 W
FCKEditor 2.6.8文件上传漏洞
0 J6 j& ]% \1 P- i% h+ X8 E1 O1 w& f4 H9 s9 V! x3 d
Exploit-db上原文如下:& I! S( {* h7 x* j( f5 u# K9 G& p
* |2 d4 _. u; E* _$ C& T- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
M& a& y ?/ D8 c" w- Credit goes to: Mostafa Azizi, Soroush Dalili8 O' T5 ~( q. d+ A
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/; W- h) D( T) J6 o+ N
- Description:7 u1 m0 o. V# j6 G
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
3 r6 h1 v- k$ ^& ^6 M; Hdealing with the duplicate files. As a result, it is possible to bypass$ H. F- M# B, a/ X$ a
the protection and upload a file with any extension.0 |, [3 H) }% w% ~
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
; s- n3 @9 _( n8 d4 C U+ X- Solution: Please check the provided reference or the vendor website.
) A* B) \; ]" D! ~3 p( X6 t
$ \; v% f f4 U- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
/ y, P- `) ~/ t1 A) q; O8 F; o2 T7 a"
9 P8 B g0 m+ L _Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
6 F7 i3 j2 C/ y5 K% S( l1 N9 T2 J
/ o' X2 N- R# z3 ~' wIn “config.asp”, wherever you have:
) g; G# d) m. a8 ^6 Z# E, m ConfigAllowedExtensions.Add “File”,”Extensions Here” }/ f2 n# K2 o/ v
Change it to:; Y/ d2 o, |1 J% s) d, p/ J
ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
6 ^& \! |0 I: P/ v3 m8 z: ` E0 I$ \& q
1.首先,aspx是禁止上传的
6 _; P# i" M4 F" c1 F2.使用%00截断(url decode),第一次上传文件名会被转成_符号! k; f8 g* ?8 C# V2 R* c
9 G8 J, _: z& Z4 l
6 b( E: a7 G3 m5 N) x9 h, _
# x. Y4 t7 O% I! R) T
接下来,我们进行第二次上传时,奇迹就发生了% u# g+ S. y3 t3 ^( e) \# L/ n
: {4 [: s8 } v0 p- {% r* V: d! d, y! Y$ D
7 d1 N. ~, j' ^7 j) I& ?& j3 m4 \
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html, `/ l1 }: ^, O! x1 B+ y! U8 n: d
1 A' J, E4 S6 L" C, q. g6 s+ R0 C
2 M' E: {7 q" ~% s3 a. @% J0 x* R9 Y9 `+ ?) p t. M, R
CKFinder/FCKEditor DoS漏洞, X5 S" C2 l$ L9 \
1 o$ D5 T9 \5 O相比上个上传bug,下面这个漏洞个人觉得更有意思. t# T W0 ?( k. [
- M8 @9 O# W( s. s
# s* ]- G5 A" k2 U
, k- N$ u: A2 ^: m' r+ rCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
- o1 H9 N& e; J" v4 @! l4 Y' P _0 R9 [! a- t4 W
CKFinder ASP版本是这样处理上传文件的:9 {6 L, I, P2 X1 I; d0 ?% P' m
/ ~4 t- x! b4 v/ @当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。" j: j$ ~' b3 `$ e+ D k& w
7 \& o, Q0 q' d( z0 J
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
* @; ~9 x8 M* k+ {7 F+ _8 [ E% n+ d
dos方法也应运而生!
5 k+ B. e2 o+ V# y; p n. [7 I) u" m& |$ l# B, \; M$ X9 T
8 {4 e' K" M2 z" ]4 G; P; g
% C4 m7 |; h. z$ v) _, C/ ^
1.上传Con.pdf.txt% L1 I# O1 T7 p& b' m4 i
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。' ~ [+ W5 @; p3 i. @
. s1 z' c# k( c: Q+ |; q8 ]/ k |
发表于 2012-12-10 10:20:31
收藏
支持
反对