找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
返回列表 发新帖
查看: 3205|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文( P9 a# A6 H( x& x8 t4 w$ ]( O

5 l/ @% `! M% }3 q原帖:http://club.freebuf.com/?/question/129#reply129 c3 I8 ^" Y( }* Z2 q& l: i

- A6 T% m* i, o5 t5 X  RFCKEditor 2.6.8文件上传漏洞
3 Z' N) [. H' ?. H; I( G5 Q1 B/ C: B$ E* C. i) R
Exploit-db上原文如下:
; x$ P8 z- F( [1 ~$ c2 |  b1 J  K9 M$ {3 A7 K% Q4 a0 w8 f4 Q
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass$ x9 u: |! E' L6 O- `
- Credit goes to: Mostafa Azizi, Soroush Dalili. z' ~9 c- I8 p/ m: W% v
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
" _  M) Y1 _% S& U+ M3 ~- Description:3 |* B9 t. M9 o4 S$ r8 t4 I. C/ z' C
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is8 t! G" h0 E% ?3 q" S
dealing with the duplicate files. As a result, it is possible to bypass! Q9 s6 A5 m+ S' i, ~7 b% ^
the protection and upload a file with any extension.
3 l6 p4 _3 q9 A8 w1 {- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/& t- K2 q" T0 r  h. }$ a+ `: Y, D
- Solution: Please check the provided reference or the vendor website., B) u* r$ Y; b# \
$ V  o7 R- R% I2 F8 ?6 t8 g
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
+ U* d+ [. q' t1 s% @' _" H"
) X. d7 H$ O5 W3 UNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
9 o  L! P: B0 y) c) |# r7 Z; g/ t2 ]' f: u* {  ]2 p
In “config.asp”, wherever you have:
/ x. X. Q+ l, b, z( L      ConfigAllowedExtensions.Add    “File”,”Extensions Here”/ B& y2 u- E6 T6 F! C( H
Change it to:
& T# Y) D4 p9 Q1 H& e      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
) g8 h  B8 N' H* h
+ Z9 \8 s& l" Z# p7 \1.首先,aspx是禁止上传的
; z0 y& k- f+ B% n2.使用%00截断(url decode),第一次上传文件名会被转成_符号
" G- a* V/ {9 j- p6 ^( E( C. T& E6 X' u) l
- ]7 ~. i! X$ l; f. f2 s

+ a2 C/ M9 @; l- s接下来,我们进行第二次上传时,奇迹就发生了6 f( l; P! K; k
6 ?, g7 t- F+ m) K+ J' ~! n. U
1 k, r: r2 x# D# k
" h9 ], i, c4 q/ J8 F
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html. K( F- f0 W+ q

: ~  r, ~, Y0 `2 C- f! s5 \5 p# b 7 ^% z# y7 ]6 p- i4 s; ]) ]' P

6 ^. a9 q" j1 B- X0 d; U$ z5 qCKFinder/FCKEditor DoS漏洞& S; R- @, [2 ?: ~2 O6 a. O

& v' N3 U4 _, Y! z3 N相比上个上传bug,下面这个漏洞个人觉得更有意思( e# @7 B5 p5 b% Z
) |) }4 t2 M3 n* m& b& W3 u
6 X# X+ `5 r% e( _9 @* p
- }# v: _- O, {
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
$ ~- f5 ^4 ^. x8 i
! ~$ v# b+ z- W- B$ H( d# {CKFinder ASP版本是这样处理上传文件的:' a/ K; _7 J* t( ]

) p# \) @: [3 g3 y+ Q当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
# R5 C6 {1 m2 V+ C3 k& p6 W( y. e7 z9 n8 ]1 N6 _( P! P% Y
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)7 r" ]% B" p: |7 p% S0 g

. w$ ^  |+ F3 K( m7 ados方法也应运而生!3 F4 [$ [/ _+ M. h2 o

# D8 y7 ], U2 [( \+ U  h! ~ ' W' E( e1 u1 v
7 Z* @. n' q9 P6 N' t0 N$ y( L& L
1.上传Con.pdf.txt) T3 f9 j  L3 S: ^, o+ D& I
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
$ @( B" |6 L$ X( C8 `0 `" e/ W6 `% f, T' E3 c! k4 a7 }5 }8 Y- m
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表