找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2481|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
. W3 y! N) \& k* F4 M3 k$ u7 |- b; m& F. C* n/ @5 @7 X% t
原帖:http://club.freebuf.com/?/question/129#reply122 Q# S8 x% c. F' w! R5 ^$ ]
+ O: A8 S" [/ U( W9 B
FCKEditor 2.6.8文件上传漏洞3 f! e/ ?2 [' r  J( u  M7 g
* u( K% z- \7 L0 z/ p4 R" a  ~% }3 ?
Exploit-db上原文如下:
) Z- U3 j& `% b+ h9 e
0 e' M! Y1 f4 h3 {+ t& R9 y- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
# d8 d# F  C; |" |- Credit goes to: Mostafa Azizi, Soroush Dalili
; {* ]# W5 j. J# {0 u& o0 N- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
& A" X9 T5 v. |7 g& Z/ y- Description:
* d( _' \& Z; ]8 B/ t" iThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is# g3 }: A# f7 s1 c. l
dealing with the duplicate files. As a result, it is possible to bypass
. b: E6 a% a7 t; {the protection and upload a file with any extension.0 N7 e  O$ \6 p8 r$ K8 \2 ?
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/3 b. ^5 R# ?% y' U% v  o
- Solution: Please check the provided reference or the vendor website.7 s0 F/ h) T3 Z. T8 f( a* e

8 O* U- F+ [9 P: Q! b% D) M* ?- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720/ ~" ~5 E( P9 \" e; f: [
"
7 \, T, c! M0 J' ]Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
0 _) }! I) H5 E2 D8 ?# F  h# Q. r$ l- V) Z3 Q1 ~: F
In “config.asp”, wherever you have:
5 z# c3 i& f/ W# N! \" y" [1 `2 L      ConfigAllowedExtensions.Add    “File”,”Extensions Here”, k/ i8 _& V) y2 M3 ^0 L& N
Change it to:% I9 ^  Y  @; g. K
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
4 e4 C" O, a$ A0 d( q' \* Q% m. @# d2 v8 G( f" L
1.首先,aspx是禁止上传的
- o8 k6 i2 O# b# [6 J2.使用%00截断(url decode),第一次上传文件名会被转成_符号7 R0 D* @/ j9 k8 `, ]4 T  ]% r% c
9 H0 E3 }, I# p1 h* D/ Z9 i- g7 Y$ d

- }3 Z, b" i2 F( y
: e7 ^& u3 |& m( A; s2 R0 u接下来,我们进行第二次上传时,奇迹就发生了
0 h5 @! W0 Y) b" S+ r0 v1 t+ J  _: ?) P. _1 R2 C% n
# z5 v$ ]8 L: u6 X2 b. r

) R" q  S, F, U5 c/ s代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html9 f7 _) `7 d) f

8 Y. H5 i; z7 Z/ t; G ; J/ u2 o% ~' u2 q4 D% E- S
) Y5 j4 t. v4 q0 k" k
CKFinder/FCKEditor DoS漏洞6 f- W: H1 l  J1 f
  J& H, A/ t* a
相比上个上传bug,下面这个漏洞个人觉得更有意思
- j7 ?. q5 ]+ x4 K' K% K- c9 u7 {2 |( [8 W  Z) z
2 a" X2 q# L8 q  O( y
* i4 @1 F; O' a
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 5 T* ]& {! _7 c1 i
0 _2 i* g7 w0 i1 p: b( i; l
CKFinder ASP版本是这样处理上传文件的:
# u) o. X  r2 I2 x  B/ C
- z5 R  h4 g, O% I1 g3 |当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
$ z0 e0 t+ [, l; d! ~
( H# k/ V( l& V2 c" k6 U  p那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下)- e/ y) H4 P6 J* o

0 |! t' ]; Z+ N2 O. p! vdos方法也应运而生!4 f3 X  G% O! C5 ?: w

  A+ P3 M+ l. O 6 ]/ g" C% x9 r( a( c/ D
% Q. E, P  ^, l  B/ O7 ?1 R( P/ N7 u7 Q
1.上传Con.pdf.txt
) [* G8 K! J+ o; Q+ N2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。7 E9 R& V7 T9 }6 g

- B: T! Y) X) i8 q/ W0 ?
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表