FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文
7 H9 y3 a0 z. M1 ^
原帖：http://club.freebuf.com/?/question/129#reply12
3 ^+ j! U- ~) M3 s4 S
FCKEditor 2.6.8文件上传漏洞

Exploit-db上原文如下：

3 }. q$ R' }% F0 e- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
- Credit goes to: Mostafa Azizi, Soroush Dalili
) P: m/ m3 A8 E) S( U5 F: N- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
/ m' n4 {+ E# m( n% @( J- Description:
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
+ p7 l/ [: S' J7 Xdealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
$ t: I# v9 l; M) [6 b/ |4 M- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
- Solution: Please check the provided reference or the vendor website.

8 t! C5 s* }: C1 y7 D' e1 A  u- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
' O6 Z$ w% a7 P! @, C/ B; C4 |"
" O6 q' M; }4 }, D# \$ A5 h7 j' iNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

In “config.asp”, wherever you have:
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
$ f2 U9 Y; c, A3 \1 b9 RChange it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：

1.首先，aspx是禁止上传的
' T$ I2 w$ j' @- G# B: E2.使用%00截断（url decode），第一次上传文件名会被转成_符号
7 R8 C/ b; G0 z0 `2 n7 L
3 z! r0 `3 |, X8 B- q- S# D

. q; a$ a1 C% |: ^) ~! g接下来，我们进行第二次上传时，奇迹就发生了
0 i; X2 W" @1 D+ ]1 N6 Y0 F4 x
- @' d+ ]5 E. k) k, _
& S: e, S( l( m) J9 T0 e
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html

/ V# {3 N- I  J
: \' q6 E. ]) ]$ _
CKFinder/FCKEditor DoS漏洞

! i7 @2 y  ~5 o  {相比上个上传bug，下面这个漏洞个人觉得更有意思
1 }' W# @3 `; w2 U3 x! a
9 r$ t" v9 B* Q5 y- ^: X# m7 n

CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
/ S" Z' r: H! U6 |+ s1 ~. H: V
CKFinder ASP版本是这样处理上传文件的：

% `3 z0 y5 v$ f3 w. I8 i, N当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。

& O$ g. \4 R! M" R* l4 P那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）
$ B4 _! [% T' q% _
; o; n7 _4 u/ ydos方法也应运而生！
1 m0 e- O; v$ V1 g* K! ~
, G; F8 \( r6 H# I

1.上传Con.pdf.txt
2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
1 l( N, W+ u, a! x  o( W) |+ f