FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文
0 y; y  U( A7 a
原帖：http://club.freebuf.com/?/question/129#reply12
+ {/ r/ J1 @, B- M
FCKEditor 2.6.8文件上传漏洞
1 y- u6 `: U8 l1 e% e
7 t7 }' X  ]0 t* I) o( j1 y" _: VExploit-db上原文如下：
" l* j& L* y- f
6 Q" D' `; |) K+ D' m- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
, ~1 H0 N- D. f1 C( y+ Y6 J- Credit goes to: Mostafa Azizi, Soroush Dalili
5 U- Y& F" O' U1 E+ o- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
- Description:
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
dealing with the duplicate files. As a result, it is possible to bypass
3 N5 w! [/ n) N+ u) dthe protection and upload a file with any extension.
3 E$ n/ z6 Q! a- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
6 w& F4 ^$ O/ P, ^- X1 q6 K4 l- Solution: Please check the provided reference or the vendor website.

. O1 R$ X: l) `7 v. B0 N- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
: [% b( k4 M; @* i. f) D$ \! D"
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:
& k% C0 L* ?+ t# R- |# C; V2 ]; A
In “config.asp”, wherever you have:
* o; D: ?( v/ R8 F3 L      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：
( |' O& v" B1 @. i7 o
3 L0 [1 ~7 w, f1.首先，aspx是禁止上传的
2.使用%00截断（url decode），第一次上传文件名会被转成_符号
  O0 G% J5 @5 v, y( T* {
8 y4 \0 K7 I4 L$ G$ Y$ B# o

接下来，我们进行第二次上传时，奇迹就发生了


- F( p8 B* ]* ^* v3 z7 H
7 C0 }2 e6 R% M* T- B. s+ Y代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
8 T$ ?6 f% f1 s0 C. f% t  i. j+ V
6 ?/ p2 A; i- C- N: X/ S, ~

CKFinder/FCKEditor DoS漏洞

相比上个上传bug，下面这个漏洞个人觉得更有意思



3 x$ ]+ r" c" x& j; e3 m4 F) sCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
# T0 H, Q( d5 o& R: i
CKFinder ASP版本是这样处理上传文件的：

当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。
& F. B+ F: R/ g' n/ e5 x4 V; ~" N
* `: f$ v' n! q' U那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）
# ^) y5 c% f# j# l$ `# u0 ]* P
dos方法也应运而生！
  s" U+ ~5 S' G# V- D% W


" I8 j( I7 G6 w! V1.上传Con.pdf.txt
8 M  q0 P! w: K! d6 z. J- b4 K: ]2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。