找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2778|回复: 0
打印 上一主题 下一主题

FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-10 10:20:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文
2 @3 e! r% T# j0 b1 z7 Y: }3 \$ G* S& h. i( }, q
原帖:http://club.freebuf.com/?/question/129#reply121 T* v% Z. v6 _6 c4 j& C
& {2 U0 G# o" {3 ?# M+ \. W
FCKEditor 2.6.8文件上传漏洞! r% m: `2 K( G3 k
6 v/ x$ I- a1 u, R% w
Exploit-db上原文如下:( A5 L1 X3 L: }% G1 N

9 o8 a/ X* _; E9 d! @, F( I% o- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
: H7 x- ^' I+ Y/ @- Credit goes to: Mostafa Azizi, Soroush Dalili
( c# s0 z, k/ X* j4 [7 W$ r- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
" ?# h0 J( x: s: _9 O, C, O5 {3 g- Description:
9 V, z9 |, x/ T' U) lThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is7 U! q1 i" o6 _$ w
dealing with the duplicate files. As a result, it is possible to bypass# \( w0 @9 O/ Q( G  @4 |4 n; |
the protection and upload a file with any extension.
2 u5 O5 h- g* l9 e- G- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
$ O" Q% p8 U/ y- Solution: Please check the provided reference or the vendor website.
# t2 S" g7 [% W. z, F: C4 i% S& D6 f* p. W; ?5 w4 U$ z
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720. n$ O0 O% P! [3 V8 k  P9 ^
"8 U2 q8 T$ Z: q3 R% J  `
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:( J( ~& h( G- |5 P7 q
7 B/ i. O! z, o
In “config.asp”, wherever you have:
9 s$ F" M5 _: x7 N9 W! s      ConfigAllowedExtensions.Add    “File”,”Extensions Here”1 J: l8 j- G( D/ L/ E& ?
Change it to:0 D( h3 s+ s7 ?% _
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:4 |# ?9 G* c, r% H6 \% J$ Y
3 L* t# D7 s) d) C, H1 d
1.首先,aspx是禁止上传的4 X5 ?: W% P+ y2 G: @
2.使用%00截断(url decode),第一次上传文件名会被转成_符号
9 h3 r; E' |; x4 C
$ Y# D% ]' X0 L9 ?% F: ?# Y3 F) P5 p+ h4 {

# |8 p7 D. X# q接下来,我们进行第二次上传时,奇迹就发生了2 U5 G" o7 ^) P( [- f

* m$ ^% v0 t5 y
4 `" [. u: F. D( n0 b, m! Q
, l9 l' s+ U4 m代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html1 h4 Q: A/ i9 {4 I9 v
8 i$ \7 U" ]3 g

4 I  k4 N+ H) T! S, D0 O! a, `  P. L+ [& D* D3 J4 s
CKFinder/FCKEditor DoS漏洞- l! V6 D+ {! l7 ]6 s4 ^$ ^
1 W3 u: v% B& v* ~
相比上个上传bug,下面这个漏洞个人觉得更有意思
6 K! F2 _; [% e4 ^, ?( m9 @
0 q$ B. k/ H! o) p4 ^
; G, R! g* o) F% E* N, U. i  j8 J& W+ _2 |& N
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。 7 n' k$ W; y+ c
. L& C3 i. l& r. u( @7 g
CKFinder ASP版本是这样处理上传文件的:
  o% y5 m' t' Q& O. E8 f5 V8 L/ W! X4 v# o# P
当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
3 H1 n4 d, T" R; u% A
$ h' M' i  o( v! L6 `那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下); m/ l4 O( p! N+ A2 B6 q
' C/ \. A& P/ g9 n2 |( H. O
dos方法也应运而生!! k% ?6 r8 `, r8 M3 k$ h
2 I' v6 `/ v% J# g) O* Z( \# f0 j& i2 ~
" o# E; K$ }. x" Y0 l
8 w* v2 U9 M( B' G% a5 L! d
1.上传Con.pdf.txt) Y4 U1 S6 B% Q7 o( }
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。4 ~, a" p/ i  x& T, H
" R$ y# G2 X; ?6 H1 Z0 T, C2 Z8 K
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表