FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文

原帖：http://club.freebuf.com/?/question/129#reply12
/ ]6 c0 \7 W: F( a8 {  c/ `# e2 B
FCKEditor 2.6.8文件上传漏洞

Exploit-db上原文如下：

- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
- Credit goes to: Mostafa Azizi, Soroush Dalili
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
0 @6 s4 J% d! V) B- Description:
% A  _0 J9 A' `6 B/ ?, t. eThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
dealing with the duplicate files. As a result, it is possible to bypass
- T& U2 r" J; G( L- D3 y% Wthe protection and upload a file with any extension.
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
9 k2 p& m4 S6 \. p) \- Solution: Please check the provided reference or the vendor website.

- h0 ~! D. O4 s  t' A9 L: I0 Z- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
"
; p" g: R' I/ ^4 ~Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
$ W5 g; _- I6 c( x( \
In “config.asp”, wherever you have:
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：

6 Y- y* `) l; W6 s8 [# E1.首先，aspx是禁止上传的
. g! T' Y7 w; C, \  ^! J$ j2.使用%00截断（url decode），第一次上传文件名会被转成_符号
# c) X4 P% F! j; Y0 }
$ N0 _3 r% t+ s( [* }0 `$ n3 L
! U6 ^7 G# Z  H" f4 J) ], R
/ B& |9 {) m% f1 w接下来，我们进行第二次上传时，奇迹就发生了

  s' K7 B- |) o; o, ~
4 v/ {$ Y: n; h5 v- V  A
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html



; E7 ?: L3 N( YCKFinder/FCKEditor DoS漏洞
/ y( U1 L' h6 X  f/ Q+ a" @
* P1 U: h0 P# j* J7 e相比上个上传bug，下面这个漏洞个人觉得更有意思

! Q+ W& t5 l1 G8 x
" l1 i* |( R% ?
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。

CKFinder ASP版本是这样处理上传文件的：

& x0 R% ~! b: E7 R当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。

那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）

dos方法也应运而生！

) M' P7 [+ o8 c9 `, W! Q& O4 i
. \! G$ b) J* z: T
1.上传Con.pdf.txt
" V. X$ U- `. r% {. y2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。