找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2780|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
6 R' C& n1 ~! e, `! E
0 d" V* S( i+ g+ ^& j# \原帖:http://club.freebuf.com/?/question/129#reply12& K2 t2 C% W; |& t0 S8 K3 K8 ^

- W/ i% [! j  Q# l% N* {5 \FCKEditor 2.6.8文件上传漏洞
  F1 r: T9 a3 I. f9 s+ j  I+ H( m2 r8 D
Exploit-db上原文如下:$ Y; s# K3 i/ j- v- K  A: k
! I7 ]/ x$ f- y0 c) |9 J2 H
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass- D9 K. u! C+ ]# Y4 b4 W$ n" a; X: p
- Credit goes to: Mostafa Azizi, Soroush Dalili
, F( j6 ?4 q2 e3 H. {# T4 y- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
' |! r; \: e; p) H  {2 K- Description:. v  i. Y2 R( w1 @
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is4 s- _' U8 X8 b, ~
dealing with the duplicate files. As a result, it is possible to bypass  |9 f5 D0 {) d6 X, z; Z
the protection and upload a file with any extension.- g: o5 O$ z( a5 a2 @/ {
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/6 q" y1 k; f% E* G
- Solution: Please check the provided reference or the vendor website./ J; y6 \9 O7 S5 C( W; B

0 h  y% f+ B) T' l9 G3 z- P; H! ]; S- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
$ O0 x: p4 D2 e: m, b1 O"8 F5 H2 a. e7 M: F( c
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:: ~* s% z% }1 {7 i1 |1 j

; u( Y9 G- Z8 M. E' K$ `In “config.asp”, wherever you have:
' \, g" x" U$ K      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
% F, L( U; ^$ p# C0 [# MChange it to:
/ M: I# D7 V3 l5 u      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:0 [, G8 s# q7 X6 @9 H, w2 J
4 v# S8 F* h; U/ g
1.首先,aspx是禁止上传的4 L, b" z, W+ l6 f! ?
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
8 V& W$ i: `7 @* G' I  L2 S, U) X$ a* R" R9 B" ^2 z

; _3 {2 a# Y6 ]$ a9 S. v
- V& P, t: s5 [" {接下来,我们进行第二次上传时,奇迹就发生了! Y3 I4 O# J; H

2 L0 U8 u$ K" Y# S( B8 R4 o; k
6 Z, y8 ^$ J; L+ _6 V3 q: u
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html3 e2 J* {" C7 u  b/ J

. p# M2 I! n' ?* z/ R; y5 U 1 ~8 O* ]3 y) s0 V$ Z- A

7 P$ q4 Z1 p+ X) _CKFinder/FCKEditor DoS漏洞0 c! k# l. ]: l8 l7 L+ a
' h2 n6 \+ }2 ?, Y2 n
相比上个上传bug,下面这个漏洞个人觉得更有意思4 D% l6 Y5 |0 `0 K
' I; Z5 c1 s, l8 r, F

4 q. S2 {) O6 S$ `+ O) b1 Z% d2 x2 @& ]
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 ; g+ ~, k' x2 g8 t1 ^

( G7 [* [4 c9 n/ ^  G0 zCKFinder ASP版本是这样处理上传文件的:% k$ v) K! }. Y9 D/ r7 b
- r  K; f0 m4 H* q6 I/ \
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
$ Q. Y* c8 {& z) H' y" {* D
" t; u3 S( S: ~/ m; @那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
: }+ t# s7 f! l$ f
. `6 ]3 r6 L- j4 D7 O9 G) d6 }dos方法也应运而生!7 ^+ ?  N" j6 y' G
* D+ Y% Y- q' e; C6 T+ _9 ?

; A. v$ F. @: L* I) Q7 p; a* E$ }! J, ?7 k' H- Z" x& A$ m5 o
1.上传Con.pdf.txt7 y5 X6 j) u  {+ q3 }7 Z/ e
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
7 u% m8 r, }1 `! G0 h  E- f4 ]# F$ @# v( X; h$ }0 J
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表