中国网络渗透测试联盟

标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞 [打印本页]
作者: admin    时间: 2012-12-10 10:20
标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
9 t' r3 C7 L& [6 E! E2 y2 `
' l/ ^0 L: o& }9 C1 ]' y' M原帖:http://club.freebuf.com/?/question/129#reply12
& {# T; d8 o5 f& m7 O+ ?; N+ K/ @. M
) Y: ]) D) N* y$ j( a# UFCKEditor 2.6.8文件上传漏洞7 ^7 {! B1 h( _' u: Q# L$ ]. q* |
( h0 [6 @0 R! B# K9 \$ B
Exploit-db上原文如下:+ \' Y0 A8 [8 L: A) I
5 Y+ |% }$ [' g5 D' M  @
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
6 P: y# |! w: ?- Credit goes to: Mostafa Azizi, Soroush Dalili/ q9 K" V) O( ~6 p, d
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
, q! |5 J  p* T: {9 u- Description:8 D( z; V: X: x$ N+ c, i
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is1 x% x2 _8 G& y* l$ w2 ?) z9 N; T
dealing with the duplicate files. As a result, it is possible to bypass
4 A& A8 e/ `+ T3 |% f; `3 `the protection and upload a file with any extension.
3 i. N* i3 S% h# C; P8 F, ~- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
! W, X+ u% a" l7 b5 ~/ ]8 q0 S- Solution: Please check the provided reference or the vendor website.! S! U: r% {- b* K  `" l% m/ f8 V

) `. v  ]+ w% I0 N$ `' E  c- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7201 Z2 }" c$ @& Z  W, Y/ C
"
, C8 y5 X  b; y2 V9 m" O) K( ENote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:* e8 c- L4 |: X, Y
! J/ _+ @/ g7 _( j5 H6 `$ h
In “config.asp”, wherever you have:5 r) v, q6 c1 [  a
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
# O) r: l2 S$ a5 J# `Change it to:# @4 V' n7 J& j( y
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:2 {, w/ g% y+ [$ e  b5 v( E
' w5 k, V: b# D
1.首先,aspx是禁止上传的
2 ^+ z) Z) P. B' j; n1 M7 H2.使用%00截断(url decode),第一次上传文件名会被转成_符号8 q# y- U2 }4 M( g$ N
7 k" n/ T5 a! i  Q

+ _% f; g* |( f6 j& {: w1 ?6 ]' U1 B8 O) f5 R% h5 P  r5 e- x& ]
接下来,我们进行第二次上传时,奇迹就发生了
! x0 K7 @9 j8 |3 o% s' p  g) r. r7 K

) F& @2 x4 Q& J7 n$ `* r2 l
0 ^$ p/ x' t" ~( [' {代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
( `1 x1 W( ]" p
8 r. i9 }1 Q8 a% d. c# T% I$ j 5 P% i5 m& y/ R, w; ]& c

- B1 [* K! i; w" X" y2 m: M: S1 |CKFinder/FCKEditor DoS漏洞
5 p) n- A( s. g) k% R6 B5 F2 e2 G9 l) W+ T  J; Q4 p
相比上个上传bug,下面这个漏洞个人觉得更有意思  m. D( d5 `3 k
/ B) A& E5 s1 I( K: n! u

4 R0 k/ X+ d: I% U) V
# o) K! G( S+ l; L& m% f* SCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 , x0 y( n* K  g, U- r

* o, G! p3 s$ \, `! }CKFinder ASP版本是这样处理上传文件的:0 j1 ]% D* L# E4 i' @7 {

% |% a- h% @4 i9 F; E, Q- A当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
* w; R; Q8 j# B/ ?
7 l( l5 @! W2 _. |& F* `, F. o那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)% g. V  p4 `/ M5 g$ g% V. `

3 m* Z5 }! ~2 I5 e7 @dos方法也应运而生!
1 S+ G: f4 c$ b& D; L4 m4 n4 p. g7 J+ O' C# {
' l& [3 _) ~# |! k: g5 j# p: D
$ D* ~8 C0 d* o
1.上传Con.pdf.txt
! N' G5 D, b9 D2 L9 |; ]# Q% r2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。, n% j+ h" t& B# S! i7 F, ?2 \1 V
5 {- ^. I/ f) D# x9 @. |8 V




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2