感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
& d$ U; Y/ |2 J) I3 p; O
8 X" p E: O6 ?0 L& C; Z; K原帖:http://club.freebuf.com/?/question/129#reply129 X4 }9 K% [$ n/ H8 c! r- r; x
% t' N( o& Z; @* A9 n
FCKEditor 2.6.8文件上传漏洞
" P: k- a& c4 h
8 @/ u/ |" B. L( }8 W) ~Exploit-db上原文如下:
) `2 v/ V8 [% f
3 _; J3 n8 C, H$ @- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass- g- k) ]" Z" l! ]) O. z7 z
- Credit goes to: Mostafa Azizi, Soroush Dalili
) r1 z" j+ N& i$ i+ D8 k5 b- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
+ [/ I# N1 y) n6 a' b6 E& ^- Description:
/ f5 e& L+ i# X) IThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is7 B' @# H0 d" y' m" T0 }$ }2 g
dealing with the duplicate files. As a result, it is possible to bypass4 `/ I# K- H9 s- e# @/ ^
the protection and upload a file with any extension.
$ u7 h# U6 O* X# a- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/& x$ j: _; ]+ o
- Solution: Please check the provided reference or the vendor website.
8 l8 Q% u3 B$ n! u, w& q6 H1 _: ? K+ Y- t
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
. G: t4 e0 Z: r1 |"' r+ M. s" J% ?. F! k+ Q) Y
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
: o& r, j, P9 q# z
2 Z) W$ b# E) Z. ]3 U. X4 H" {In “config.asp”, wherever you have:! r9 n6 D, w7 b2 T7 {+ }" r8 O
ConfigAllowedExtensions.Add “File”,”Extensions Here”
G# J" i& l6 zChange it to:
2 w1 W/ g1 ]4 Z) d( q# e: h ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:. k- c9 d' d* J
5 F; B: r; F9 _; A) C: a1.首先,aspx是禁止上传的
+ G. W4 \8 X+ V7 w# B2.使用%00截断(url decode),第一次上传文件名会被转成_符号' p% ]& O9 K4 v+ o' h. @
9 p+ B9 z! A4 y5 U2 Z) b! q) [% h
8 h( @2 n0 c! R1 r$ Z: B& R0 N* w: w6 L) a
接下来,我们进行第二次上传时,奇迹就发生了' V: c6 r" e/ g2 `" g0 L+ f! Z3 J- m
! s. Y/ R& d2 q3 H6 w- o
9 \. t' s: n( q9 d. p* E3 g
9 L/ _: M( J" |5 _! C- x6 h& N代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html& n d V* F, Q! x1 y
) g% _+ n; v3 d* [( q0 G a m * C( B. Y5 ^6 q3 ]9 @
9 d' D) o3 `- r0 {' W w) i/ I$ g+ Z
CKFinder/FCKEditor DoS漏洞/ u( h( _& q1 |) `
/ g. W8 m, i9 P1 s相比上个上传bug,下面这个漏洞个人觉得更有意思: d% q, m% `" `' z3 O3 I
6 s/ ]* C% c- K6 v
, x7 F* k% o! d# ^3 l) s1 Q! X
" R* ?+ z) F" |0 [4 s' ^CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
! i B8 m% A% c, i9 P
x# p& ]- b( _8 jCKFinder ASP版本是这样处理上传文件的:
. x2 b9 J- `/ q6 i
* j$ i5 N3 h+ V$ {: M9 `当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
, q \( `. w( _0 I; s, b, @: `; I7 l9 s3 }9 R( l
那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)4 r; t; h2 e' d5 j% m* d
. n3 p, D4 ^) g; E% w% y1 t) z7 L/ W
dos方法也应运而生!
4 q% K5 H0 W! l4 ?# `* i! ^* }
" h( c6 W {5 K9 _8 U! H' a
+ U6 U @ T* O& e2 P0 W5 L& E! b. h; Y0 L3 D/ `+ H
1.上传Con.pdf.txt
9 X$ [2 d4 X: {# I* e S2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。, T3 o& R0 J" D% Q/ F4 v4 `
3 @, t& s& D/ a" x+ G8 F0 |0 u |
发表于 2012-12-10 10:20:31
收藏
支持
反对