感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文1 f d4 x s2 K/ |3 p" Z, J1 D+ B
3 G0 J: x$ ^ f. |原帖:http://club.freebuf.com/?/question/129#reply12
% }. o5 }% y. e8 } @' n
# O) U7 z- c; m/ lFCKEditor 2.6.8文件上传漏洞 A, S8 x% L3 s0 S" v7 f1 a, ^; c e
: ]9 @$ P5 C8 h Z+ F% _
Exploit-db上原文如下:% a3 y/ }4 O& B1 J
# B1 v, }: [6 \. p/ t P- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
F& t1 Q9 z: t" A7 X% o3 @- Credit goes to: Mostafa Azizi, Soroush Dalili! D$ ?$ n) ~9 g; K0 L: R: w
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
' o0 Z) c4 P4 P! v+ @. i5 y- Description:! H( j3 y: j0 I' p3 G" U
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
7 a$ P: v( L; t H$ l; v9 }! ]dealing with the duplicate files. As a result, it is possible to bypass. ~$ H' P% L0 M/ K: T6 C) v L4 x5 `
the protection and upload a file with any extension.
% ?, z2 h8 r8 S9 h- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/$ w. C$ T' X" x5 ], ~: |
- Solution: Please check the provided reference or the vendor website.
: o: f1 K6 I' p$ R2 G. E" B% h
" p c; c9 J+ z- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720& W4 ~) h; V" a: [0 M. }; w4 E
" d2 ]3 T0 X9 t* @ @* ?) W
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:, i- X9 U; j+ i4 P6 O* S8 _. K
" p# \% J7 @8 N3 V0 O! _0 dIn “config.asp”, wherever you have:
6 [' j, C5 U8 k7 F+ d1 y) k ConfigAllowedExtensions.Add “File”,”Extensions Here”
7 g' R3 U- u+ I- F. gChange it to:
" j$ w( ]2 Y8 w ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:0 k% f# V* C- ^, ^; o" o
" |9 d/ ^0 k" F1 S3 Y' ]
1.首先,aspx是禁止上传的
. r% h& Z8 r* q# V! V2.使用%00截断(url decode),第一次上传文件名会被转成_符号; h0 M3 d, _8 f" X; r
" P" @& j+ V# v# r* @
( v0 U+ o: O! k. @
( ^; s2 H3 r, f4 n' T1 D接下来,我们进行第二次上传时,奇迹就发生了
+ i1 k, d j/ t3 L1 C# O) I7 i5 W) Z( r
0 B* Y8 ~1 z2 O* G7 l
" e8 }' i" T5 t. e
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html5 T) f0 c+ |: G+ \9 w. B
2 G6 L* b! f& o! R
5 J p2 @: c h i; a7 W
- I0 q6 p8 ~) R7 x9 n3 Q+ OCKFinder/FCKEditor DoS漏洞
1 A+ o; v: s) s0 l V
7 p) x1 c& T+ L9 t7 p相比上个上传bug,下面这个漏洞个人觉得更有意思" m" e% L8 i) R; r) x
0 y$ R0 y3 o& F1 O- t# s, K @1 t - B! c A8 J% c+ {& E' [& d
& C; X7 F2 D. C* |( DCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
* d7 y9 k4 Q* C4 S" w; f% L$ N7 m4 Q2 ]
CKFinder ASP版本是这样处理上传文件的:1 } j, ^% i$ `, n" N. A
& ?/ K3 E( J8 j! h当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。2 K# @9 I, U! V4 N0 X$ a
* a9 ^/ v; z0 N% X$ u% _5 b
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
$ g- O# g; X4 R3 [; e! X+ G( [7 j; G* j' o+ q8 Z3 b
dos方法也应运而生!3 [ r" k/ Q, N% J& F8 A8 s7 b" P
4 S* X V) Q+ m$ K, z
, B9 [; E( j" `% s- {, b% v- f t% H6 s( @/ _8 d8 H
1.上传Con.pdf.txt
& F8 Z9 N/ U$ R2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
0 e9 {' [( [3 e( |0 ]9 Q h5 c- w( S4 g! O6 p1 S9 l$ `, P7 F
|
发表于 2012-12-10 10:20:31
收藏
支持
反对