FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文
' W$ m  `; I/ V. h: Z
* f6 ~! I; T. w5 K% ~* \$ k  H% d原帖：http://club.freebuf.com/?/question/129#reply12
; I* c. g- y& [9 N1 \' Z5 V. G% I
FCKEditor 2.6.8文件上传漏洞

Exploit-db上原文如下：
7 k* S5 M+ t, d  a8 z0 N3 K
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
- Credit goes to: Mostafa Azizi, Soroush Dalili
, L7 ]+ u& h" X6 [- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
- Description:
' K2 W; ]8 C2 \1 e, f$ K# e& j, PThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
dealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
7 l. h, n+ X5 O. |# f4 k- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
- Solution: Please check the provided reference or the vendor website.
& K% i8 `' i+ F+ a
) G# P& E" w8 I; v2 V* i( I4 z- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
"
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

In “config.asp”, wherever you have:
7 o4 R1 K6 b6 J$ Y2 m      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：
/ V1 s- K! @. L$ a
1.首先，aspx是禁止上传的
1 |0 A& Z/ B3 P' a- S# r2.使用%00截断（url decode），第一次上传文件名会被转成_符号


; m8 c+ F( P. ^; J
接下来，我们进行第二次上传时，奇迹就发生了
% e% {& s( X; _

2 f1 L' j4 k, l* a+ w( ?
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html



# t( j' Y4 M- |CKFinder/FCKEditor DoS漏洞

" r+ N/ J. J3 R. c相比上个上传bug，下面这个漏洞个人觉得更有意思
+ T. S. i  `5 m- e9 t0 t% s. @1 d
; z3 D' k2 w) s4 g+ c6 m

CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
1 X* W( e- l0 H6 c+ j
, p- C# W& e: c) ^CKFinder ASP版本是这样处理上传文件的：
5 g0 s9 _1 t) Y: _3 s
# r$ ?2 T: O) T0 T# S! U0 v当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。

那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）

" S: l; A. B' x  m  ldos方法也应运而生！


6 U6 i( M1 c: o9 N1 V. g
1.上传Con.pdf.txt
, g" c0 J. r1 S0 n& I( e2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
. H$ l/ b9 d5 C  s. ?