FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文
# Q' q7 S6 f0 `& ]
原帖：http://club.freebuf.com/?/question/129#reply12
4 ~2 y, L5 {( B0 T
' D+ m, o; A: @  XFCKEditor 2.6.8文件上传漏洞

Exploit-db上原文如下：
; U% j3 m0 B- C' a' ~
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
- Credit goes to: Mostafa Azizi, Soroush Dalili
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
- Description:
; S% W' x1 e& j, U' o; E' P, {There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
$ R/ Z. l4 ^3 k2 i2 L: P% Idealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
4 z" b) Y  z9 p9 y- Solution: Please check the provided reference or the vendor website.

& W+ j8 P. O' z5 X5 ?- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
9 k% f0 @+ B) n. Q& S& i"
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
8 w5 r0 S1 F* t
0 P! S3 u' Q, K$ R. [In “config.asp”, wherever you have:
9 \- E* `' Q/ O% W  Z9 s1 T      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
/ H# Z: l7 ?9 R/ j& ], UChange it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：

6 v$ U8 L, o' a, U1.首先，aspx是禁止上传的
2.使用%00截断（url decode），第一次上传文件名会被转成_符号


- Q' d. {9 v, S0 J; C
( R+ ~- d  U2 s- m6 _# b接下来，我们进行第二次上传时，奇迹就发生了

9 s6 x9 J% ^* x, }# R, }0 I$ _' w$ m
' I7 b1 ?- q6 n& s0 d0 Y
' n1 H$ Y1 H- {8 L3 Q  Q* C代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
  ^1 \& l( N6 ~: D+ E( ^/ W& l
7 Y, q7 M/ {. J( U( _$ w9 n* K
  T! L, U% [5 |( J
CKFinder/FCKEditor DoS漏洞

相比上个上传bug，下面这个漏洞个人觉得更有意思


+ |+ G: d$ W9 ~2 i
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
+ {6 J& d1 M9 B; v0 y  w
6 {8 v% x5 p1 z3 n8 p; _CKFinder ASP版本是这样处理上传文件的：

! D/ k: f& [' z9 m5 ]2 m+ ^当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。
# U; w/ n8 ~. X+ O( h/ ~7 L6 {! u
那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）

dos方法也应运而生！
) K# `. g1 B! l5 g
: S. a3 D2 g, u7 x/ w* G% d0 S1 D
7 y2 t$ A3 S" G; N
1.上传Con.pdf.txt
6 L+ w  i7 g0 a& P. G2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。