中国网络渗透测试联盟

标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞 [打印本页]

作者: admin    时间: 2012-12-10 10:20
标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文. }- S" R5 r8 a: M& O

/ I; a# w8 R4 _' f* Z9 h, t原帖:http://club.freebuf.com/?/question/129#reply122 @0 t4 ~1 k: H6 P  f/ ?& L+ o. E* \
. h/ g$ \3 a0 s+ m: q* Y
FCKEditor 2.6.8文件上传漏洞
" O* y5 q; F$ z* E/ E$ \
  S! f9 Z; I! q0 j# gExploit-db上原文如下:& _" b: x) p) A7 y0 w$ W. O& i2 `9 T

+ P: E& u" Q8 d0 G% k- ~- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass8 O( i+ _0 b: T, g7 ?
- Credit goes to: Mostafa Azizi, Soroush Dalili
' P& b) z4 m9 k$ o* P% G+ G0 x! g3 s- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/6 T7 F# }7 M1 q. e: o' e& i
- Description:$ d7 l( w4 [1 S" D- }+ ^
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is( A' ~, ~9 |; M
dealing with the duplicate files. As a result, it is possible to bypass" r6 M) @- p4 A. h; [
the protection and upload a file with any extension.4 Z4 f7 R# z  |6 k3 H
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
2 E( X3 s0 K1 b# v2 p) z- {- Solution: Please check the provided reference or the vendor website.( C8 H* |  K( n
5 {( }4 w! F  b
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7207 G- K/ K, c, [2 ^$ y5 f
". z- ^) ]" K) ?  P. m; n
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:- B# c( @& g, w

: m( N- A, v8 ~( ~! s5 u. P% P: }In “config.asp”, wherever you have:
: \6 h4 z' @1 O9 ^      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
/ T  K) r3 n* {Change it to:
$ E2 Y$ N$ x, q      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:' O$ a" J3 }% J6 g+ c3 i

, n! H1 g( G; T% n8 f2 {, ]* p1.首先,aspx是禁止上传的
7 P  @: ]( ?" X" Z2.使用%00截断(url decode),第一次上传文件名会被转成_符号$ @, b2 c, Q+ ?4 W5 e0 ~
" ^/ m! o( z3 V9 F4 v# h7 p. ]

. a  N  ]) K. v8 {* k5 h. D5 _& k5 l! _; [
接下来,我们进行第二次上传时,奇迹就发生了7 j* ^* c/ X  |& y1 M2 y

3 v1 \" n1 H0 z8 O& J5 c$ ~1 A  y5 t. E8 R2 p* l

6 J' Q  N7 l3 {/ v* L% }  f8 D代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
# j; S& l; |- F4 J: E! h$ K) R# o" B6 y( L' }  [) {" b" w9 N
" f% n6 C4 F8 i1 N  b7 j& Y' G

6 G" y2 c% P/ x( w( DCKFinder/FCKEditor DoS漏洞3 n; f  _. X5 w/ \
! J4 k, e7 W# y- ?2 Q0 b
相比上个上传bug,下面这个漏洞个人觉得更有意思
' x+ }' `/ |% M# y1 I- p
. t3 t- W4 v" v$ Z
; Z  A, Z6 @) y! k7 M; u
4 P5 P! d, a, r5 X- N# H3 ?$ @CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 + _& y+ }+ Z( A. W$ [, ]& ?

8 @5 L4 `$ ^- o; h5 V0 ^* B% @  gCKFinder ASP版本是这样处理上传文件的:, K. X- Z; L. C, G6 Y. X
1 b4 E- r8 s2 x. O
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
9 j# A6 r' b, I0 i) t" x- s6 C3 b9 ]) m1 R! y/ u
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)1 Y7 l' @% \! V: u
% r% v4 O; w1 f2 H" e5 s
dos方法也应运而生!
  S3 X  M% e$ l( H
; G5 E% H/ I) x. T& i' L% l 2 K( M2 O% _2 x6 G" M3 w- Z9 k: ^$ S4 U* y4 e

- C: Z+ G- X. z1.上传Con.pdf.txt
9 e( u2 Y& }5 X+ l8 U! @! j8 t2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。' x$ R" r- J) w# I9 N
) t* m- v7 y4 i$ \. T' Z# j+ ~* n) ^





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2