找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2785|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
5 i, O! V# s, z, B* a0 ?( z+ j' v( |
原帖:http://club.freebuf.com/?/question/129#reply126 f  K' x( K3 Y9 x) _. Y1 X

" }& Z' k% }5 P* j; x' ^5 D$ jFCKEditor 2.6.8文件上传漏洞
8 ]7 F" P  [* G. H1 Y$ Q" y3 w8 u4 c7 V4 J# n
Exploit-db上原文如下:
6 r8 t" f- a4 e  R. y. O* b7 `9 i4 f# h, j% Y
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
, ]% a& [+ V3 Y- Credit goes to: Mostafa Azizi, Soroush Dalili+ m# n2 j+ {5 ]9 b) N$ P
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
+ }: l- G4 X" s- Description:7 ]; V. X% ?1 d% ^; q. Y
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is# h& R% r4 t( N1 w: j3 {
dealing with the duplicate files. As a result, it is possible to bypass
, N3 Z8 |; q7 D/ ?$ \3 }the protection and upload a file with any extension.
8 l7 R3 Q" O2 x1 H$ [4 _4 j- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
( K; ^! c+ o2 U6 H) K$ R2 j7 z9 [- Solution: Please check the provided reference or the vendor website.
, H% ?) B" Y7 c2 d6 c9 @
+ K: t/ @/ ^) B2 J6 m- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720+ Q0 ~4 ^$ E7 Q, {% _4 H% u" B
"2 c2 o0 L$ Z. P! _- Z2 e# M
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:+ C4 U! Q% l! r% U
4 D& N4 b( `1 e3 x; Y: u
In “config.asp”, wherever you have:
0 U: A! [- Q, ^5 A      ConfigAllowedExtensions.Add    “File”,”Extensions Here”6 h# Q6 i7 M. j5 E; @' Z- a9 S) q
Change it to:$ Z' F$ H$ k1 M" `8 T' ?' X8 o
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
- z  _5 H* s) m* ?( Y  ^. Q! T4 y7 c- t
1.首先,aspx是禁止上传的+ v9 A7 h# L6 N
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
, B9 o: |! g) b- `& c1 u$ Y; m/ G8 M5 O! O0 T

  U6 P3 V5 o/ M: `8 n; ~( X7 C9 q
' h5 L3 |- {" ]+ A5 L3 h" B接下来,我们进行第二次上传时,奇迹就发生了
! U  y; I# ~& h/ g' F, m& P* O) H7 H( O8 y6 a  k

) X! R: a  D, L7 Z! ^5 |7 m- n7 Y% m  v- Q
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
( g: R- z* h1 A
' T! W$ S5 q* l
+ c2 {0 p+ q3 |
- U1 a  h6 {) W" C) t/ M- C4 Y: H. XCKFinder/FCKEditor DoS漏洞6 ]9 R1 G7 q& l6 I

3 L( J6 e4 k6 z相比上个上传bug,下面这个漏洞个人觉得更有意思3 ?+ |0 |. U& T2 F

, b+ N7 `4 M) w9 d2 X2 f. ]$ |5 ~ ; U8 [/ ~& v3 b/ K
( N( H7 r2 ?5 I% K6 A9 ~
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
9 w+ m! B7 P! o! p1 J! N6 o
  H( i: C! \# z( ?8 UCKFinder ASP版本是这样处理上传文件的:
6 E9 p% \- w, @0 C+ x) Q
% S4 p! q* d6 v, G. Z9 V0 V* T" s当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
6 O& f+ b! ]$ x( w/ J2 ?' R# m' c% l% X: l( R* [$ d( r
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
( E& |4 ~3 w7 W: O# K+ b8 \2 l, Q! k* M# S! y
dos方法也应运而生!, N+ u3 ^) j$ ^. n7 C" ?, g

+ M. S" l/ o* \ ' ~- q% {+ R8 v( \* }3 G. @
+ o, g  N' x$ d+ o& V
1.上传Con.pdf.txt
$ r3 q' Y/ @% O7 A: u6 j! B2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
1 o# f4 `. P1 m8 N, n5 @7 n3 C" m: q$ [! o# L
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表