感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文: e" I9 v1 }5 c; ]2 K' g# @
1 Q% d: q' q- m, H6 X8 ]原帖:http://club.freebuf.com/?/question/129#reply124 G+ K f# T M
) }" _0 R+ M% j/ [' s2 g3 a; @6 O% bFCKEditor 2.6.8文件上传漏洞$ h% k: P: o0 h9 L, m
3 }% d) \! S9 J: q4 z! ]9 ^
Exploit-db上原文如下:% J+ b9 s$ H* m* K. k8 B# F: {
* I4 q# Y) H/ n4 [# X
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
7 Y6 V2 x9 R* N' N+ D- Credit goes to: Mostafa Azizi, Soroush Dalili; z' R5 C2 O/ g" P
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
$ q+ ^; c" k" H" s6 {- Description:
8 ~1 B' l! e) Z3 x5 a, {0 C0 zThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is' D; {8 _) x/ l# |
dealing with the duplicate files. As a result, it is possible to bypass7 t) h; G9 R/ O5 b8 t; F/ g9 w
the protection and upload a file with any extension.
* ?9 O$ `; _8 j4 X1 H* P! k- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
2 ?5 q( w5 h( t2 }- Solution: Please check the provided reference or the vendor website.
# N s; c# O( |; n4 {* K6 @4 B4 P# z2 r2 h/ m( y5 O
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7207 R+ K4 _6 y" y0 ?8 b2 O
"6 R7 M; l S6 d) [6 q6 I/ W
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
2 i4 E4 j3 v7 M: |# W ~1 a2 ?8 C- A! L' L1 R6 a- G. v' N
In “config.asp”, wherever you have:! J' d! ^" N1 N8 U: H- l3 K
ConfigAllowedExtensions.Add “File”,”Extensions Here”; o/ G' h. S8 W9 `7 @9 f
Change it to:/ H( V% p" s( e& L. d2 D9 y* _
ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
) ~6 M; w/ `* w. R
( K) {! N1 i! o# \1 [1.首先,aspx是禁止上传的
' G! X$ n" w) Y* \4 `* b2.使用%00截断(url decode),第一次上传文件名会被转成_符号
# U) S4 t6 C, `2 M6 K6 n6 I3 s$ h+ t' V3 O
- D2 |- b* x, K% V2 o
; a, q1 g) A% A" R5 ~2 m' [接下来,我们进行第二次上传时,奇迹就发生了, H8 U9 g" f- D1 @. ^/ d1 n
9 i, A2 f9 X6 i7 v3 Q6 d
: O7 x% p/ _2 ]
. o, y0 Z4 L! M- e
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html0 ]- I/ F6 M: _' N2 [: i$ ?
2 Z' m% L8 w- C G
$ h1 B2 m1 v1 H9 z
4 X8 M$ f+ Y5 _' R' |. LCKFinder/FCKEditor DoS漏洞
- S& Z8 f" }- U+ \9 H3 i. n) c9 G3 g m' i9 }: I* i* {
相比上个上传bug,下面这个漏洞个人觉得更有意思1 d; I6 m; W* F% O
X- A0 U# k0 g) x2 z
3 U: [$ o1 d8 n" V' S! y$ a( V8 n$ x2 }0 E6 _+ B6 m6 @% [: a$ ]
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 1 e+ l3 w1 R+ V4 d/ ?$ l* q1 [: @7 m
& r1 [/ [+ c: M0 f$ s: XCKFinder ASP版本是这样处理上传文件的:
% C, R9 E% W) _+ W+ X+ S/ t7 X0 I$ D5 b- a& K1 V! ~5 L$ _2 J2 m
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
l- |5 v7 B" Q# m3 |3 b
( \2 Z0 R. L& j那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
+ B7 W/ L. m' b& M9 V, S. g( {6 j4 H
dos方法也应运而生!3 p/ Y' J/ C: K
/ A; |! ~$ x+ S/ H. j
/ P W7 h' W" H/ ^( o9 b: N# v8 i) R
+ @: L' \7 ]3 E! O: R9 R( R1.上传Con.pdf.txt& j2 p6 T, \. ?% H' o2 n& w. I( L
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。4 T$ d! `/ P& ^6 }' P/ N9 o
0 Q: H. ]5 N' d, G! v" ~
|
发表于 2012-12-10 10:20:31
收藏
支持
反对