找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2784|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文3 W8 J1 @+ x$ Z' D- k
7 F! M  P, C8 d
原帖:http://club.freebuf.com/?/question/129#reply121 Y! v: @( D( j. Q3 R/ J

) _0 d# K) d; _4 J9 hFCKEditor 2.6.8文件上传漏洞
+ e. A& z5 t5 h5 C8 W8 ?8 c
  U* Q7 s3 Z1 f! k8 z5 s( \Exploit-db上原文如下:) j5 @, C  V# q# }

& l" \6 `' F, r+ P( X% A0 X* `- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
' e* b- I- {" U7 e3 P6 Q# t! o+ f- Credit goes to: Mostafa Azizi, Soroush Dalili
1 t. z  ~- s7 u9 [- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
9 G* {3 N) d- n  l- k7 W* Q6 i) l9 P0 i7 x- Description:2 r: E/ x: J2 b
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
8 c! _2 |4 ?/ Z$ o6 Z; tdealing with the duplicate files. As a result, it is possible to bypass
) ]+ }3 s" N& m# D1 \2 Rthe protection and upload a file with any extension.
! [% p2 j+ d& s+ H  n7 }- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/6 U% H/ I% \2 _  A: U) {6 B
- Solution: Please check the provided reference or the vendor website.( |& f+ e# u5 U, v5 q

( O4 ]6 d, U* }- m- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
" O- l8 ]5 N3 Y% G" ?4 z"
7 G1 P, @3 ]6 @/ T$ S0 `( e# ]Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:1 y" S/ o4 w+ ?2 j3 d1 w; F

& K% Z" A+ r% Y  aIn “config.asp”, wherever you have:' N7 u9 c, I, ]$ U9 H
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”7 s$ F( R0 v' B: v2 ?0 n! X
Change it to:
) s/ ?& g! j& c      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:; [, U" e) b( |$ P+ p, }+ f3 n$ ]
) h" S8 J, e, o& W0 n" L5 y
1.首先,aspx是禁止上传的' Y2 J. M0 [0 v3 g% G- t: X
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
# F* L# L/ Y  J% w1 H
6 B6 T3 y  N: I$ D0 X5 h6 s( V- M7 I8 t- p3 Q0 t

7 S6 x# X' [+ f+ R3 X% k/ Z6 [) M接下来,我们进行第二次上传时,奇迹就发生了
" Q4 x1 G* o/ H3 V
/ m$ v5 B4 `' [+ q  M' D8 @8 u" W4 n1 ]/ v& j5 a  Z

! X" I4 v& U$ L6 [代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
: {, ^2 N0 X3 k  s) Y4 N' Z3 R# ~; ]9 E* ?3 k5 ]9 h4 _

0 ?5 {: L  L2 p  x* g: L2 E. b$ W2 t  s8 ~9 J; c
CKFinder/FCKEditor DoS漏洞
8 K, B4 v9 h) V2 n' r2 ^& [
7 N% n- |# z! z& \$ a相比上个上传bug,下面这个漏洞个人觉得更有意思2 k/ v- [7 H# J

( o9 T: s& D' r4 l- G- n 5 ?/ f/ ^$ J/ q2 ?* O$ o" v

5 [6 g, p$ p. s: ~0 l8 U" x0 DCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
" P! ]" S' Q) Y+ a! t
  g/ P1 T' g5 g! L2 o+ |! a5 FCKFinder ASP版本是这样处理上传文件的:! g  z& w! m1 F0 H/ y# V" [0 e5 U: l, g; p
: D0 c3 T% i6 k. j$ S5 J
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
. O$ k  I6 `3 B/ e9 W) {" C& m- |: }. ]) j
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)# M; k( x  V# h6 X: B  ^

* e4 R( R2 c) z  a, G1 Zdos方法也应运而生!
. Q' f/ d% x6 V* D. ^, o8 A4 x7 Q! n4 F- ]% L' T" G! K/ T4 L; [) f# y5 a
1 ]8 d7 Q- W2 C
7 b; @& T' E% B
1.上传Con.pdf.txt
/ L5 m, }1 K* ~  e2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
- }$ B' m7 ^1 a3 Q. [& Z! t" A; ~$ p5 Q& t
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表