FCKEditor ASP Version 2.6.8任意文件上传漏洞分析

2012-12-23 14:45:19 31 12311


一.  漏洞概要
漏洞描述:
FCKeditor是一款开放源码的HTML文本编辑器。
FCKEditor 2.6.8及其他版本在'FileUpload()'函数的实现上存在安全漏洞,攻击者可利用此漏洞上传任意文件到受影响计算机。
受影响版本:
FCKEditor 2.6.8
二.  原理分析
总共存在两处漏洞,第一处在对上传文件扩展名的正则表达式匹配上,第二处在FileUpload()函数中SanitizeFileName()只对sFileName文件名做清洗而未对sExtension做清洗,导致上传同名文件的时候扩展名中的%00截断未被替换为“_”而直接保存文件。

0x01 正则表达式不完全匹配

首先看如下代码:

这里ConfigAllowedExtensions中存的是文件扩展名的白名单,要看它是如何被调用的还用跟一下NetRube_Upload这个类的代码。分析其代码发现,oUploader.Allowed这个属性实际上是被传递给IsAllowed()这个函数,而最终传给了RegExp对象的Pattern属性,然后调用Test()方法匹配白名单。


这里我们看一下白名单ConfigAllowedExtensions中的内容,

事实上Test()方法只会在sExt中搜索白名单中的这些扩展名,如果搜索到就返回成功,这里是做的不完全匹配,换句话说如果扩展名为aatxt,一样能够返回成功。所以这个白名单基本可以无视。

0x02 SanitizeFileName()未清洗sExtension

首先分析FileUpload()函数的代码,在/fckeditor/editor/filemanager/connectors/asp/commands.asp中,如下所示:
Sub FileUpload( resourceType, currentFolder, sCommand )

        Dim oUploader

        Set oUploader = New NetRube_Upload

        oUploader.MaxSize        = 0

        oUploader.Allowed        = ConfigAllowedExtensions.Item( resourceType )

        oUploader.Denied        = ConfigDeniedExtensions.Item( resourceType )

        oUploader.HtmlExtensions = ConfigHtmlExtensions

        oUploader.GetData



        Dim sErrorNumber

        sErrorNumber = "0"



        Dim sFileName, sOriginalFileName, sExtension

        sFileName = ""



        If oUploader.ErrNum > 0 Then

                sErrorNumber = "202"

        Else

                ' Map the virtual path to the local server path.

                Dim sServerDir

                sServerDir = ServerMapFolder( resourceType, currentFolder, sCommand )



                Dim oFSO

                Set oFSO = Server.CreateObject( "Scripting.FileSystemObject" )

                if not (oFSO.FolderExists( sServerDir ) ) then

                        sErrorNumber = "102"

                else

                        ' Get the uploaded file name.

                        sFileName        = oUploader.File( "NewFile" ).Name

                        sExtension        = oUploader.File( "NewFile" ).Ext

                        sFileName = SanitizeFileName( sFileName )

                        sOriginalFileName = sFileName



                        Dim iCounter

                        iCounter = 0



                        Do While ( True )

                                Dim sFilePath

                                sFilePath = CombineLocalPaths(sServerDir, sFileName)



                                If ( oFSO.FileExists( sFilePath ) ) Then

                                        iCounter = iCounter + 1

                                        sFileName = RemoveExtension( sOriginalFileName ) & "(" & iCounter & ")." & sExtension

                                        sErrorNumber = "201"

                                Else

                                        oUploader.SaveAs "NewFile", sFilePath

                                        If oUploader.ErrNum > 0 Then sErrorNumber = "202"

                                        Exit Do

                                End If

                        Loop

                end if

        End If



        Set oUploader        = Nothing



        dim sFileUrl

        sFileUrl = CombinePaths( GetResourceTypePath( resourceType, sCommand ) , currentFolder )

        sFileUrl = CombinePaths( sFileUrl, sFileName )



        If ( sErrorNumber = "0" or sErrorNumber = "201" ) then

                SendUploadResults sErrorNumber, sFileUrl, sFileName, ""

        Else

                SendUploadResults sErrorNumber, "", "", ""

        End If

End Sub
这里sFileName        = oUploader.File( "NewFile" ).Name为获取上传文件的文件名(包含扩展名),sExtension        = oUploader.File( "NewFile" ).Ext为获取上传文件的扩展名。
主要看这个while循环,当第一次上传的时候,因为sFilePath文件不存在,所以会执行else语句保存文件。这里文件名是经过SanitizeFileName( sFileName )处理过的。而第二次上传同名文件的时候,执行这个If ( oFSO.FileExists( sFilePath ) ),如下所示:
sFileName = RemoveExtension( sOriginalFileName ) & "(" & iCounter & ")." & sExtension
这里可以看到这里的sFileName直接用sExtension拼接而成,而sExtension之前未用SanitizeFileName()做清洗,所以导致在扩展名中插入%00截断不被替换。SanitizeFileName()代码如下:
function SanitizeFileName( sNewFileName )

        Dim oRegex

        Set oRegex = New RegExp

        oRegex.Global                = True



        if ( ConfigForceSingleExtension = True ) then

                oRegex.Pattern = "\.(?![^.]*$)"

                sNewFileName = oRegex.Replace( sNewFileName, "_" )

        end if



' remove \ / | : ? *  " < > and control characters

        oRegex.Pattern = "(\\|\/|\||:|\;|\?|\*|""|\<|\>|[\u0000-\u001F]|\u007F)"

        SanitizeFileName = oRegex.Replace( sNewFileName, "_" )



        Set oRegex = Nothing

end function
三.  技术验证
这里上传一个webshell然后抓包修改扩展名为func.aspx%00txt,如图所示:

第一次上传文件名被修改为func.aspx_txt,如图所示

第二次上传同名文件,成功getshell,如图所示:


四.  总结
4.1  漏洞小结
问题最终还是出在对变量的过滤问题上,虽然fckeditor已经多次死在扩展名过滤上,但这次还是没有摆脱被上传的宿命。
4.2  防护方案
01 修改/fckeditor/editor/filemanager/connectors/asp/config.asp中的
ConfigAllowedExtensions.Add        "File", "7z|aiff|asf|avi|bmp|csv|doc|fla|flv|gif|gz|gzip|jpeg|jpg|mid|mov|mp3|mp4|mpc|mpeg|mpg|ods|odt|pdf|png|ppt|pxd|qt|ram|rar|rm|rmi|rmvb|rtf|sdc|sitd|swf|sxc|sxw|tar|tgz|tif|tiff|txt|vsd|wav|wma|wmv|xls|xml|zip"

ConfigAllowedExtensions.Add        "File", "^(7z|aiff|asf|avi|bmp|csv|doc|fla|flv|gif|gz|gzip|jpeg|jpg|mid|mov|mp3|mp4|mpc|mpeg|mpg|ods|odt|pdf|png|ppt|pxd|qt|ram|rar|rm|rmi|rmvb|rtf|sdc|sitd|swf|sxc|sxw|tar|tgz|tif|tiff|txt|vsd|wav|wma|wmv|xls|xml|zip)$"

02 在/fckeditor/editor/filemanager/connectors/asp/commands.asp的第167行添加sExtension = SanitizeFileName( sExtension )
类别 渗透测试

关于作者

winxwin8篇文章38篇回复

winxwin
31

评论31次

要评论?请先  登录  或  注册