FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文

原帖：http://club.freebuf.com/?/question/129#reply12

FCKEditor 2.6.8文件上传漏洞
  W# I- S, @6 f! P, Y
! c' B8 i# C, g8 o8 m# ?Exploit-db上原文如下：
( B6 l) t  L  v' h5 v% t
% ~' k# j, f# t% c- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
- Credit goes to: Mostafa Azizi, Soroush Dalili
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
/ x% `. B& R+ b1 \8 O( w- Description:
! T- l: Z9 o% B. s: k+ @& w5 jThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
dealing with the duplicate files. As a result, it is possible to bypass
" j4 Y, ^  ]" [* rthe protection and upload a file with any extension.
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
- Solution: Please check the provided reference or the vendor website.
. v1 ~- m, g& j3 G2 j) ]* {
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
2 e. D$ V% W: v" f, @"
/ [4 @' `- m, G1 k/ ^2 tNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

: k2 M1 d) T% l' FIn “config.asp”, wherever you have:
/ T9 a) w  V2 e% H' a* y7 Z& Y( y      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：
4 e$ q; U+ Q) }7 |; z) L* }
1.首先，aspx是禁止上传的
1 I1 W! D6 i* V  p- S' d1 P2.使用%00截断（url decode），第一次上传文件名会被转成_符号
1 }. K/ o" ^6 l$ _7 \8 M
2 n3 W3 M& K+ }+ S! E0 h, S, Y1 K; L
7 T8 z, g" U# f$ q- h4 G2 `
: B7 q5 y# X( \  y接下来，我们进行第二次上传时，奇迹就发生了



代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html

& [+ }- L' P, ^5 w! W$ i
# |' }4 v) m7 H$ s
CKFinder/FCKEditor DoS漏洞
- A# H# I4 i- Q; |, @. M9 C
: r5 T5 ~* g' u! `相比上个上传bug，下面这个漏洞个人觉得更有意思
; X( [. u2 `2 ~5 q& F0 i

+ F, p. s4 p9 z
) s' w9 e  R$ s2 }: LCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
! e3 J3 b, o6 h1 X8 s0 o" Y
CKFinder ASP版本是这样处理上传文件的：
. D( l1 n) i, R; @
+ x3 t: o% D& O% z8 `! f当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。
& c7 k6 t* i3 q
那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）

dos方法也应运而生！



1.上传Con.pdf.txt
2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。