感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文8 ~ r- j! T0 |& k
; J7 J5 @: h' m
原帖:http://club.freebuf.com/?/question/129#reply12: N4 E1 z O* m# [, ?$ }: G/ D) E* }, Q
, g+ O9 q0 ~- jFCKEditor 2.6.8文件上传漏洞
* h- b S( h6 i5 E) D2 c4 N# f3 p4 M5 u
Exploit-db上原文如下:
m" ~4 |# ]. j2 w" V% S4 m$ X/ i
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass2 E( y( F. b; X5 S
- Credit goes to: Mostafa Azizi, Soroush Dalili7 o8 V; l% m/ |( P
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/+ M3 Q, j! U9 d5 V% X0 w! m
- Description:
7 \3 t- N5 H) P; gThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
5 n, ^1 u+ u. c/ c3 Tdealing with the duplicate files. As a result, it is possible to bypass p5 `1 e% J& h, K. `; c+ f
the protection and upload a file with any extension.
& t$ {; ^' n$ O) a3 T& w$ g# K- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
' W4 z9 I6 \' \3 a; E/ [- Solution: Please check the provided reference or the vendor website.
5 \3 F4 [8 \- E% [- K3 [2 |% Y3 M, j; b8 t+ t- _
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720# r% p+ I# P2 a" E! i& W* Z( H
"
! v/ U$ u5 y- M6 m8 ~2 BNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
) O7 O; }! j0 [0 C" b2 h9 P! h4 f2 [( a8 m
In “config.asp”, wherever you have:
2 ]: O5 U4 r/ _. o2 \+ L" [ ConfigAllowedExtensions.Add “File”,”Extensions Here”+ E: N3 [) W( l
Change it to:' W8 O4 M9 T& j+ g1 _) b
ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
5 n: C3 f; I: K' c# l: N* l
t; N4 {+ t8 P$ G9 n6 r6 ]( ?6 \1.首先,aspx是禁止上传的2 b& P1 Y/ e/ \; b
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
- |5 ]6 m. y( @) t( v6 j4 e9 K9 ?& m. ?
2 u5 d3 O. G0 V
$ ]0 | p% i& S& P6 r
3 o7 B/ j4 a& y& i& K9 n% f; \接下来,我们进行第二次上传时,奇迹就发生了! l; `' t1 Q" V3 ], M3 B
% A3 B8 j8 ^3 V9 j8 P8 q- y
9 e. \$ d5 P* k3 b0 r% j. N
1 R& T) E; `* V0 Y
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html: K7 e; l* D8 n% c1 {
$ S% J. q# s9 W7 w2 M( [8 _ 0 R/ n4 j4 e8 K
# ?0 C) f7 C) b4 B
CKFinder/FCKEditor DoS漏洞
( k3 `: ]+ B6 ~9 a* I$ L, p. u) F+ B, x- T/ T! C' j4 B. k
相比上个上传bug,下面这个漏洞个人觉得更有意思
( K( k. H- X6 o. Q3 h2 A2 s# g( h& Y+ j8 x- v
# b( e" h# A% v9 C" g+ p7 r
, R- `% w2 Y6 m1 A: VCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
$ v5 B" x2 A" \' Y/ a/ G3 F
) ` w1 L) {) C( x0 k' z# d' iCKFinder ASP版本是这样处理上传文件的:* y! @7 s3 W! ?' G5 a- D2 M
4 H/ F C8 t6 ~# Z$ z( G当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
& v/ e5 ~! j4 E$ U0 W0 M. c' }) d- s$ L1 S, ^
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
. f* Q- @& S4 J, o7 _) {/ d. C5 f# q% t! ?
dos方法也应运而生!
0 j, i% X! t# H: w0 i/ a* x7 E$ H# r$ C' V* i' s
$ G# @: C$ ?' ~/ [) K x* r3 f2 u' J
) ^* @; M4 V. C- {6 q/ k6 J1.上传Con.pdf.txt
* G& b4 `0 Q) O. {2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
! J$ u0 S5 l* L
0 e( q3 J- K/ n1 F9 R |
发表于 2012-12-10 10:20:31
收藏
支持
反对