中国网络渗透测试联盟

标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞 [打印本页]
作者: admin    时间: 2012-12-10 10:20
标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
5 u4 R  u) P& ]0 b; n) ]4 A( v) f4 K* \% p3 w) ~
原帖:http://club.freebuf.com/?/question/129#reply12' r: a) x+ ?( U  p  q/ K

/ |, a, B1 T: EFCKEditor 2.6.8文件上传漏洞3 T7 x/ d# n' P5 ~- M, E
% l4 c2 v/ o4 y- [: N9 p! @! M
Exploit-db上原文如下:7 f1 Y7 p% S, u8 m5 f0 p8 n5 L

! g" L) O/ V2 V* O( l5 W% T- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass5 |: {% O( ]7 y
- Credit goes to: Mostafa Azizi, Soroush Dalili
% i/ _# C+ {& x8 t( A% E- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/7 U9 t, w8 W& M- w
- Description:
6 T# E/ v- s) OThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is% }# @! z6 A" v5 W9 j- b. {
dealing with the duplicate files. As a result, it is possible to bypass
% ~: Z  l3 `6 jthe protection and upload a file with any extension.0 i  k9 A/ l  d' l) C% q) s- E
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/+ o# S6 l% X$ J+ {
- Solution: Please check the provided reference or the vendor website.) y" \, R" L. F8 s& n( W
4 g7 ^3 {+ f5 \5 P2 ~& u
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
4 W/ m  ^5 J# S* d& e"
# I" W8 y; g! Q! _0 ZNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
7 x# P! G* T$ ?. [, i' C+ R9 }2 E$ o5 x' e7 Z
In “config.asp”, wherever you have:
" X' [5 S& k' P+ m0 p$ Q) `+ a      ConfigAllowedExtensions.Add    “File”,”Extensions Here”* P0 v5 D# T) A# c; \
Change it to:
6 Y3 _" ]2 ?+ w9 U! J9 }      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:( W; K4 V* g% I) H

- ]! N$ `8 N% h- D1.首先,aspx是禁止上传的
, v2 U% B: B; X4 o2.使用%00截断(url decode),第一次上传文件名会被转成_符号* V! I! D! e% H3 c( i: Y

/ H- R' s7 I" M# Z6 U
8 H6 e  H  J: D4 x2 C. H2 z# o5 w" p( Q2 @
接下来,我们进行第二次上传时,奇迹就发生了
% t: v6 V: z& ~7 C- s9 P% G0 w  d; m: z
  E' j5 s5 w+ C/ u$ l  x  m! `4 D1 C/ G  Z! K, u2 Y- E5 h

* s; }: b8 v- X! u  ?# A: N1 C代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html1 Q0 X4 y$ ^# A" u/ h
1 v) y5 _5 _/ u( j' {

1 r: o% Q; [" Y* r, n: k& q' l) r  R# f3 H, {7 }
CKFinder/FCKEditor DoS漏洞1 Z; C! Y' s1 u+ [

6 n3 A5 x! h4 o" K4 d  K相比上个上传bug,下面这个漏洞个人觉得更有意思
8 S# M2 n5 I% G0 |4 D
* m0 r# L0 E% N' u1 B9 e8 ]8 ]
$ M! c; c; l, w) \' i
6 L/ |6 g  D7 _CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
: s* h1 x2 g- q+ G
3 p0 V) T# c* e* _; T( CCKFinder ASP版本是这样处理上传文件的:
) ^. S: h; N8 Q7 G, U* k7 A$ O2 e) ]' |( F
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。; H1 \/ H+ U' a# n! {
/ S5 z8 }8 j% X. Y* ?! g1 i
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)5 ?; o% i: v  ]+ b( L
9 B* l) j9 N' t, Q+ k
dos方法也应运而生!
% k4 [/ \. m9 M! P: C. l2 o
3 h! U9 H5 S; C 3 l" ?$ c7 g- z7 t
/ y/ h% }% C# Z  i* `
1.上传Con.pdf.txt2 n; c% b* G( a
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
- q# o* p1 q1 Q  c* H1 R/ X7 Z3 q/ g  H7 ^




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2