FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文

9 ?, D$ ?3 y7 l6 ^! _3 U2 C, M原帖：http://club.freebuf.com/?/question/129#reply12

9 m# ?  r! w  m, n/ f/ g9 uFCKEditor 2.6.8文件上传漏洞

9 I2 o8 m& s# ^' s: [Exploit-db上原文如下：

- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
4 h/ o' G+ N# J  A# p. K/ y) z- Credit goes to: Mostafa Azizi, Soroush Dalili
, ^) [/ U4 G4 g1 W; K1 [& E- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
- Description:
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
dealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
0 f. D; j9 U9 v8 p+ Y# J- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
- Solution: Please check the provided reference or the vendor website.
7 p' n" f2 r7 z. o+ R
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
+ Y! o& N! t" w"
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

In “config.asp”, wherever you have:
1 g. p: T5 |( w6 m5 @4 b  z3 g      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：

1.首先，aspx是禁止上传的
2.使用%00截断（url decode），第一次上传文件名会被转成_符号

# J: f; R7 R1 k2 b
+ p( _, s% X9 j
接下来，我们进行第二次上传时，奇迹就发生了
' R2 v. E6 }. ]7 r
% M9 @2 U2 Y8 H9 s! _4 _" G
& |# K) E# E! A) a- d; l- ?
- o* V& P( p$ L代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
6 S# ^( @5 a( r; J  U

3 E- X6 {$ _6 ^! \& x; J! R
. b  L$ V; C. ~; }9 C4 VCKFinder/FCKEditor DoS漏洞

相比上个上传bug，下面这个漏洞个人觉得更有意思
3 O% i: i& v3 z% Y! z

6 J( o- O- Z& j9 t0 S1 a1 d
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
9 S* A) c) H& [* v
9 u& G- i3 x  ]9 c% ^( a9 wCKFinder ASP版本是这样处理上传文件的：

当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。
& a& g, @7 \* \& G( e
1 f) g7 g: f6 ^8 m3 M那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）
$ r: c8 n$ H% p3 ~
& Z. h% Q4 o9 m- q% r. ]dos方法也应运而生！
7 t/ {/ i$ _- v. y& ^
) n. T. C5 Y, R5 v% [3 V- t

1.上传Con.pdf.txt
6 l6 C" o. W& R1 o7 e: Z! k2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。

) ~+ t  |& s3 b2 k( T: B