找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2781|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
5 W! m1 _- E" |  s
3 O$ D8 F$ |. e5 H/ V' Q原帖:http://club.freebuf.com/?/question/129#reply12& n- t' _* l7 X( }( x% d2 U
1 j7 Z+ |  ^, t' ~( f2 O
FCKEditor 2.6.8文件上传漏洞
: z3 M5 `. j$ B- y8 z$ z
' Z4 X4 O* j; V; O7 }& k5 I; xExploit-db上原文如下:7 V! [$ ?, F. z% b& N

& Y! V1 k5 S2 R4 d# r1 F6 u- L* p- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
( I  L+ r0 H0 ]9 i: w1 G$ E- Credit goes to: Mostafa Azizi, Soroush Dalili
4 h4 n% Y: w# m  v8 g6 e- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/9 P* }4 V4 v  s9 N( i- X
- Description:
; J7 x4 R: e" QThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is" l* O' V9 }$ _$ t3 |
dealing with the duplicate files. As a result, it is possible to bypass1 u# ?, A$ n3 `8 Z3 d/ d2 n) j
the protection and upload a file with any extension.
' p/ q) q) G  }2 y8 y4 A, f- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/2 s6 e% B7 b% [9 }6 }
- Solution: Please check the provided reference or the vendor website.
, G" D+ [7 ]2 C! G- h+ ^5 N
4 t. z  ^$ z! j' o0 h" c/ A' o- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
8 [, P& ^& b7 Q% c9 I/ l, J% S"
, S: l0 O5 S, n$ aNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
' a5 I( n1 ?4 F  L$ i' I' {* d
$ p7 F# p2 D! |! O  GIn “config.asp”, wherever you have:
+ L+ ?! C9 B( @; k) F      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
, X& D! {; E# tChange it to:
1 X( j/ e$ d0 C# G* a/ T      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
+ ~  F1 u7 m" z2 Q# s! S$ O' h' A/ w9 W
1.首先,aspx是禁止上传的
& \; G/ N, u9 v. u2 k5 N! H* I+ B2.使用%00截断(url decode),第一次上传文件名会被转成_符号% l1 |' N" F/ e( y1 v0 m

: p+ x  c7 F+ U1 p) T0 u5 s9 V6 f+ R9 s( L1 `0 U* @: V& t5 U
4 e9 c; G  t, n2 c  ^
接下来,我们进行第二次上传时,奇迹就发生了, \) h1 [$ [# H: p% f1 c2 G# }

& V( n# Y) r2 c! j" W
" q7 T, D, Y5 @+ U3 B, H# x3 J( Y
& _& O; E# T; E2 f, u代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html6 |" |5 Z: X+ }, Q5 ?% t' }9 G2 y
3 f' r3 ~5 C' u0 s8 I

* b: u1 b: [* m
* x* n9 g7 k& |- C+ v- yCKFinder/FCKEditor DoS漏洞
0 D: W" E3 T0 Q% g4 ^. K5 B1 G% k
相比上个上传bug,下面这个漏洞个人觉得更有意思
; Y# n+ \$ p# c: V$ J$ @- r
( |: M1 m+ U/ D1 |
! ~; y/ S$ W: F, {  q8 e
$ y% v9 {, c9 @, z1 v3 M& m* XCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
1 U4 J5 N+ s0 y# p8 p- B6 h- T3 Z$ L- w# I- \5 B+ N/ O& i* J/ C
CKFinder ASP版本是这样处理上传文件的:/ H/ {, w& b: w0 c" T

' U  W$ c+ y2 t$ P3 {当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
" H" F) n/ N8 S. a2 C  V8 ^  G% Z1 Y  E0 H* l# i7 g+ n
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)4 @& y4 l% B; L6 c; c

  i, z8 L1 k2 P% f# V# odos方法也应运而生!& p' [1 P6 _2 B0 l
" [' N; D& H  e$ D- y) ]. `0 c5 E

4 K. P5 M- A7 h' U( w  n% C/ ~: S1 r) ]6 d- V
1.上传Con.pdf.txt
0 L9 m9 O7 A; [- A! @2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
/ W4 C8 U7 {" T$ ~. X
) m# y5 a& A2 J) H, N
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表