FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文

" r6 ?* m1 `! x2 {5 I原帖：http://club.freebuf.com/?/question/129#reply12

FCKEditor 2.6.8文件上传漏洞

- R8 T5 K( A% i% D! h2 `Exploit-db上原文如下：
  x8 c1 l: m1 ^0 f
" W/ F& B8 u7 l+ x- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
: a5 Z8 Y9 ^  m5 v4 l9 Z" @5 l- Credit goes to: Mostafa Azizi, Soroush Dalili
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
% C) k7 s" ?4 A2 [5 c, \+ D$ g- Description:
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
1 E, Z2 F- m& L% C8 E) hdealing with the duplicate files. As a result, it is possible to bypass
0 A# t- L9 g' Ithe protection and upload a file with any extension.
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
+ _0 _& A- C% y. C0 L! l- Solution: Please check the provided reference or the vendor website.

6 j2 h, R# b+ f& G- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
"
' z2 _8 T* h! d4 |& XNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

; Y4 p" e0 S* d) v, }In “config.asp”, wherever you have:
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：

& e4 r: |3 Z- x& X. D1.首先，aspx是禁止上传的
! B8 [0 ~# Q! E/ e2.使用%00截断（url decode），第一次上传文件名会被转成_符号
3 X' H; r' ^0 M" L
" N. h/ N( v" W2 u
, @: t+ v, u& C% u
接下来，我们进行第二次上传时，奇迹就发生了


! u  c& i6 g. ^& _. E* h
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
+ F( I2 w/ W" ]" t# ?

: }" S5 G8 Y  t8 E* Q; w7 G, `  i
CKFinder/FCKEditor DoS漏洞

8 V0 {  f- k' T' v9 i- C, t相比上个上传bug，下面这个漏洞个人觉得更有意思
5 r# p8 ^$ d- T, `* n1 B
/ U7 [1 Z6 }1 B# r' {

CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
# D; V& U: q8 }4 l
CKFinder ASP版本是这样处理上传文件的：
3 O% [4 W$ j! C+ J8 f/ p
当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。

9 E' e: H& H& H7 I  [- x那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）

2 S; x( K% Y. W7 Tdos方法也应运而生！
3 z6 H6 Z: a, N9 h4 L+ N/ w

9 p/ X& u2 Z4 u, M5 s/ s
' X# {. c, |; u5 d$ I. ?( [8 _: E# C1.上传Con.pdf.txt
. p& V$ n. ?- h% F  n0 g# _2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。