找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2782|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文  ^9 U" J, ?# \- J% w4 H

- P: r! \% B8 i0 s, X1 V1 X原帖:http://club.freebuf.com/?/question/129#reply121 `( F* Y# J/ R8 x1 U5 p/ @

/ }  W  E6 Q8 w9 Q, G% H" `FCKEditor 2.6.8文件上传漏洞
, c8 d0 l  j7 c6 R8 f" c" x7 S' s% u; o* W0 O7 o0 }
Exploit-db上原文如下:
( a3 D) h' J2 A$ E) \  M# u+ D% D- v3 k: @- H
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass1 v9 |5 `0 N' b$ w  l
- Credit goes to: Mostafa Azizi, Soroush Dalili
2 P5 V7 z6 m2 b. P9 I. x, N- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
* c  ~6 t6 J' f( i. y1 N+ J- Description:
5 s6 D& J) k! o8 N" T% c1 jThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is$ Z, M) f4 w$ L# B6 A- A4 y
dealing with the duplicate files. As a result, it is possible to bypass- @+ W& ^0 z7 F
the protection and upload a file with any extension.
* i. h4 M" H( J/ @- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/2 }: [( a( S2 ^0 D  \5 C
- Solution: Please check the provided reference or the vendor website.
9 G1 j( Q+ ^% m, Z% E9 J- B. G. r* R8 n- M5 T( B$ [7 H
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
8 p$ p/ F7 f# L! b& X" k, @# ]. X"
; H6 I: X& {8 f& A7 `4 a8 YNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:. h* s7 H1 k8 t4 ^5 C' x. p

/ q+ `+ M# U0 \/ W) @In “config.asp”, wherever you have:' z/ E, k4 Y% K$ X2 p, y
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”! R1 q4 T! U3 K0 [
Change it to:
' E3 t% ?8 {& {" X      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
$ \; q  W5 }: C
9 ?* K  G2 }7 _$ S) ~1.首先,aspx是禁止上传的5 O% w5 s, D# V% I+ T% s
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
: H( w! D. X( p/ k( K7 O. K5 V1 |' W  s2 o' ~% S( g
3 H( ~) }8 [" U8 s. w" K

+ r* U) j, M4 |2 o' a7 n接下来,我们进行第二次上传时,奇迹就发生了' B' @7 ?# ?. S( S/ F( R: u% j

% T1 ~1 x. {' w4 V8 m) J0 ^
, c% A& i2 v  p  B* a' C' D4 A1 u; R6 C% V
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html1 i4 |7 p9 C' S- t# z

3 S$ G7 a/ U7 P4 }0 k7 Y0 D+ h
" Z$ S- X( E6 Z
4 S2 Z. _, c. xCKFinder/FCKEditor DoS漏洞
% S8 R6 ~- F" J5 r9 K7 @/ c3 N1 i5 i; f% U* V# Y# x, I
相比上个上传bug,下面这个漏洞个人觉得更有意思
$ w: V) ]! J* `7 O9 {6 @& P4 m0 P- Y4 G* ~( l6 ]

6 `7 L. y& K3 h. d  _# E
( F6 B% d& A5 X! iCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
+ U, j( C' E/ g) I! O2 c9 g7 r2 u( i+ }  C5 \' E
CKFinder ASP版本是这样处理上传文件的:
% p/ x; N4 |/ ^2 a% D8 h5 c& h- o, M# y" F+ I0 t/ h
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。  Q* ~/ B; `9 B7 [

: c# C/ ^3 ?- x% Q: g7 x  ~+ S那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)+ o) `9 q# ^- p. Y

) n3 w% O( x1 x7 ?$ j& I. M  |dos方法也应运而生!
6 T5 n  ]( i% R9 Z& M( Y: d: }: J5 \5 H& J2 c6 b7 s3 H1 S" ^3 I1 y
# v# j! I! w* C1 S6 T; \

% p+ f6 U" D5 h( h/ b& v6 C1.上传Con.pdf.txt
, ~  y3 A2 [) J2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。& ]) o( H. k7 i  x( i7 P+ n0 V

* ^3 ^2 `: S9 ^8 K" {8 E
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表