找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2786|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
8 {5 R( R! a' t4 L
  z3 [( O4 }6 c6 a! H' u7 W原帖:http://club.freebuf.com/?/question/129#reply12
, ~0 l. E! Q8 L' \5 C8 T7 z& H, b, Y3 s
+ l# {% h5 O/ b8 R2 rFCKEditor 2.6.8文件上传漏洞
; x7 l4 g% k0 B- I7 @/ V/ n" c% [5 f1 @3 M
Exploit-db上原文如下:
1 l% x2 @2 ]# u0 n$ u+ B* ?3 L8 q" X6 u
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass. @1 c8 m  _/ I' O8 N0 M
- Credit goes to: Mostafa Azizi, Soroush Dalili$ {+ I- q1 G( t( Z0 W5 J
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
( o0 D1 o5 c0 ~- Description:
4 |  i1 t1 a7 O7 e/ h- g3 T9 CThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is1 b" w+ e8 Z- d0 H1 C9 M  s8 Q0 o
dealing with the duplicate files. As a result, it is possible to bypass
1 A" N5 l9 A8 j! h, l, othe protection and upload a file with any extension.
) n' y! y) N! x. x  e- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/* P, m8 |( P1 r# j0 I' Y8 _5 Y
- Solution: Please check the provided reference or the vendor website.; v0 H0 f! F7 W/ G, d
# d3 S( {4 N7 r7 w( {# u
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
6 @5 z8 y, F# y+ L+ f9 ~+ e"
# I  ~. [5 F+ |+ x3 JNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
) o- d- ?- {/ Y5 N  w4 p+ @! q$ d; A6 T: c
In “config.asp”, wherever you have:8 G. l7 y: Z2 i# t, F
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”( N% D# e: @# K% G0 @  F) j
Change it to:
; n+ S$ t* K* j! C7 g7 i3 M: ?  ^) L      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:+ c, R6 s, N, g, C. z
5 c, ~! ]' n4 |, U
1.首先,aspx是禁止上传的
! p6 u( }  j- n2.使用%00截断(url decode),第一次上传文件名会被转成_符号
! Y+ A8 k! d9 H2 d4 @1 n/ R6 |' @. o% v  ~$ o8 T
( C  V$ }2 i- x* s; t

: ^" C9 V3 Y5 U/ w8 Q接下来,我们进行第二次上传时,奇迹就发生了: W3 v: {! s7 T6 o

: j" k3 H; M* Z8 s
; u7 }/ _8 M. j, h  j+ X
" f3 B' p3 A0 ~8 J( @, b代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
: e' r; s1 I, R3 {5 N) |( T( l
3 z2 s: a# E  j" I- k0 F& }. N $ `7 t* n. L1 Z+ i6 l1 C
3 H; _& r$ ~/ i0 J$ _
CKFinder/FCKEditor DoS漏洞& I2 _6 I$ H. o8 Z2 J# V- y# o* r

  x6 H0 [1 N+ z0 ?9 v/ {相比上个上传bug,下面这个漏洞个人觉得更有意思2 W0 l2 _; B( ^

" o0 G9 R9 p& j+ T6 }2 N1 ^- w' {, G 4 b0 \: {/ ]2 b+ X3 Y

/ }* h6 c) x" x1 E0 `CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
; @+ B0 D% [+ c* l) S( Y
& _* Z1 `4 ?2 n2 L4 FCKFinder ASP版本是这样处理上传文件的:
' x4 e  ]9 R2 l
) @/ \3 [3 J; E2 w$ @! r' r当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
3 g  G7 I5 n: T( r! V
% C& E& G$ m( j2 Y  O8 w那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)
, `: w5 O7 `) A/ E! S2 D8 h
0 d- ]2 O& E" v6 h/ C% x: h: f. }% j, ddos方法也应运而生!
: z% F4 G' y, {6 V( Z3 }* I' G" S5 W4 X5 T' y
- T6 T- f0 d1 q5 W3 p: a

! x. n& N' _7 b( n5 w1.上传Con.pdf.txt  i  y9 ~- q' b( \1 R7 B
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。: ?1 l* y; u! _0 Z- u

% T5 a5 N" N" Q2 E5 J8 `; O
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表