中国网络渗透测试联盟

标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞 [打印本页]

作者: admin    时间: 2012-12-10 10:20
标题: FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文4 F* D; p3 m6 u" q5 }  W7 N

' C/ ^( G) b% U! i3 G9 s* w$ E原帖:http://club.freebuf.com/?/question/129#reply128 P5 x" \( W4 m. f, W  @! ~
7 C6 ^  U+ w& l* ~( E
FCKEditor 2.6.8文件上传漏洞# D5 {! ]  E, d% U: v# U
$ n1 ^4 F4 Z0 x! o9 f) [6 f
Exploit-db上原文如下:  r( \1 r4 l! |
6 D6 e9 W6 d9 R+ T# m% R8 d
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass0 ^$ r; U( m4 D1 v) R
- Credit goes to: Mostafa Azizi, Soroush Dalili
3 [9 i% O5 @' N; N- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/2 ^3 _2 A+ n% F0 {9 M: M  W* h
- Description:: _3 J: w( \6 u) v
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is- K! H$ j! ]" L$ |" g' N
dealing with the duplicate files. As a result, it is possible to bypass* ]% h% H+ @, I7 }- H
the protection and upload a file with any extension.
# ]! A7 h5 {* {: O7 W& G4 l& n$ L: O- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/# ~- p! n  C7 A0 U# N
- Solution: Please check the provided reference or the vendor website.0 _3 |9 c9 W3 Q. x- g

: `/ @* b! z4 ~# N; p- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720* }( z1 X' y# ?  |! ~: X" v+ \
"
" o) ~! ^, L7 \- v+ B6 o4 I+ kNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:0 t3 ^; F: i( I, L* J1 u# j5 z8 b1 R8 Q4 n
& O& a4 h' [! Q0 S3 Z! T
In “config.asp”, wherever you have:
# i( P: @# ^) u! x2 n& g" o      ConfigAllowedExtensions.Add    “File”,”Extensions Here”; S: N/ L" ^6 ?9 x: O. Q$ ?# k
Change it to:4 A0 ]& M2 a+ E" d6 q& z
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:& v( h* Q; H7 P  N8 z+ R, ]

' q" s* W# H8 t5 w; O1.首先,aspx是禁止上传的- g. O0 w/ l* u/ T$ `0 {
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
3 ~. ^" T2 T5 B/ F& U- {' y
$ g) G* d/ O  F9 n' T9 C( G8 g* E- Z2 N5 }% ^/ n# M0 ]

1 p& E+ |- R# Z0 l6 T5 |接下来,我们进行第二次上传时,奇迹就发生了) J* v* ~: Y  V; h. v" Q& M

: a5 o! \2 x: X, w, [4 y! @
" _) t- p. T1 S0 y% o
$ z) A  m% c3 c代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html) S; l0 S2 n! y' `  V

5 [# J  s9 j9 L - Z, ?, v6 @9 ^- q/ {
3 J( m9 o: w6 }7 H- Y8 J5 p: l
CKFinder/FCKEditor DoS漏洞3 F- Q6 M5 ^) l9 i" @& v1 S  a
  J$ ]9 Q1 t; G( E" l0 L  _- A$ Y
相比上个上传bug,下面这个漏洞个人觉得更有意思
' K+ M. q( g# c
7 D) G: Q) B& n2 g( F
' h. N8 V# s. W/ ]" e- E' C4 Q$ y  f5 ?9 q3 O$ k
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 9 k+ m1 x4 y) x1 C

: z% I9 x2 O; B( [* F3 H" L/ q; qCKFinder ASP版本是这样处理上传文件的:. E1 ^: W7 f5 d2 j+ t

! |' x) O" ~0 o当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
' p8 O  L- ^) c) q
7 x3 e$ ~6 W( v) c7 ?) e( ~6 y那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)" Y; V& x, X8 e$ ]
' W) x2 h1 @* N7 q9 S6 @
dos方法也应运而生!
7 B2 Q5 O( Z* N1 I0 Z* j% ^5 K( ~$ J
$ ~- E) R& n. G* A3 _" N

+ n; s% J+ w3 S/ ?% i# m1.上传Con.pdf.txt
  k+ R# e; S/ |& {7 D: D6 S! E  A2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。2 [8 ]( ~% y+ s& j9 ?

5 Q, x) z  z' {+ c8 V6 k




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2