感谢生生不息在freebuf社区”分享团”里给出线索,才有了本文1 H1 u7 k! E0 k
: y2 L7 S. [6 m
原帖:http://club.freebuf.com/?/question/129#reply12$ D' k J4 [5 B
! F- ^- o$ ~ w; M! ?
FCKEditor 2.6.8文件上传漏洞
P8 e. \. ^: {9 g, R7 y6 k- f8 C% z# ?/ n$ C+ ]
Exploit-db上原文如下:
6 F* ~4 z1 V" s, t( @+ e* [# ] u6 _; `9 a: O: \$ G9 a( @
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass/ L! @, I% ~4 h" ^9 v3 v$ Y
- Credit goes to: Mostafa Azizi, Soroush Dalili" p6 g. `3 _3 x" o" Y* W6 c7 W
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/. f" k! P7 p/ x! z y! \, @( I: [
- Description:
/ j p: e, w' `8 jThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
$ K \6 n( b l5 O! m5 K6 Wdealing with the duplicate files. As a result, it is possible to bypass4 k o& G" e1 V, ~- r
the protection and upload a file with any extension.8 t3 e$ g1 K, J4 |. U4 ^! P
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
$ [+ j$ H# @% _; m# v" h- Solution: Please check the provided reference or the vendor website.- K# n' k3 L8 u" p
8 r$ d/ A2 ]* p4 D/ t2 A1 r
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd7203 z: u j+ b- \- S) c7 A- `4 \
"
0 B+ _4 T% `# m; aNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
7 X% U6 w5 @% Q( e1 U0 |/ b; U9 m/ a$ K) ] [
In “config.asp”, wherever you have:
( ?2 R1 w4 A2 d$ x2 F( e ConfigAllowedExtensions.Add “File”,”Extensions Here”' e W+ T* m$ h8 M, d( K1 T
Change it to:
9 q8 D" O- V& p8 i ConfigAllowedExtensions.Add “File”,”^(Extensions Here)$”在视频(需翻墙)里,我们可以看的很清楚:
4 E0 y m* n! ^: ?( D: b3 _! E& a0 D+ o: t, G- C6 b) ?8 o% o' L
1.首先,aspx是禁止上传的
) L) C! C5 X: e) F m2.使用%00截断(url decode),第一次上传文件名会被转成_符号1 y; \( g) ~& J+ h
+ l( }! F3 v6 v1 [
' ?# s m' E0 m! W* p6 e
* H6 k7 A! S6 H4 i$ V0 R
接下来,我们进行第二次上传时,奇迹就发生了, I. {- @5 U4 Y }# P0 g- x9 \
5 G& D; S5 R3 I) }7 u, C4 K, D
5 M" M8 X3 c1 j9 Z7 l; [
4 ~% ^" [$ }& E4 ]' r# U
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html. w& m N: [7 R9 I
@( \6 ^1 O! s, y! |4 S* N " a: R4 ], ?( Y; x1 a
& x+ K/ B' S" x* p4 `& p
CKFinder/FCKEditor DoS漏洞
1 n! k( i( r% F. |
& E2 ^ o% m5 w* Y相比上个上传bug,下面这个漏洞个人觉得更有意思3 S0 X6 [% ^: A- k4 \' w# b( M
. B( }8 o+ [; A# E# h7 U
( Q: V4 |% n8 T
8 j8 ]" r: E1 ]1 {. F6 mCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观,快速学习的各类用户,从高级人才到互联网初学者。
8 F7 C/ t" I0 P% N7 @ p9 p+ E6 ~/ m6 {- k! q" A, `9 E- [
CKFinder ASP版本是这样处理上传文件的:3 w; h7 n. ~) _7 \
# W: m6 [: ]3 R7 \当上传文件名已存在时,会进行迭代重命名,比如file(1).ext存在了,会尝试重命名为file(2).ext……直到不重复为止。
/ h W" H" a2 i8 S8 v7 ~, E" y3 P
! }# s4 A" u5 [% {* v那么现在有趣的事情来了——windows是禁止”con”作为文件名的(关于这个问题我印象中很久以前,win也有过con文件名漏洞,有兴趣可以确认下) N7 p% y; X7 q. D w! d, @" a
' t. Z/ ?1 f$ P( X+ Y6 W" @" y
dos方法也应运而生!2 y. F) [2 b1 U9 D3 M, u1 ?4 e/ m
2 N, d: Q2 F1 w m) s6 w1 t
1 f: o; E' J9 [0 O/ {
4 L9 @! }; j1 q4 h% C2 W1.上传Con.pdf.txt/ a; t; d( z" Z8 \/ ~5 B& P& {$ x
2.CKFinder认为“Con.pdf.txt” 已被占用,于是开始尝试Con.pdf(1).txt,Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
) C2 Q* A& f6 @7 E, U8 x$ j2 I1 T) C8 P/ Q: Y1 C
|
发表于 2012-12-10 10:20:31
收藏
支持
反对