FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文

, j# n* X$ L) U- U% a原帖：http://club.freebuf.com/?/question/129#reply12
1 l: z, i4 D' o4 z7 u
FCKEditor 2.6.8文件上传漏洞
5 V& v' d9 n* u* X5 h# D8 U
7 T& Y# ]  V6 p3 \4 {, xExploit-db上原文如下：

- j) m# F4 ^: G* R7 [) Q6 Q6 r- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
5 R8 ?3 U( k# \- Credit goes to: Mostafa Azizi, Soroush Dalili
, @2 A) w5 f: x5 P4 h8 q- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
/ m' E  Z9 @- z, `- Description:
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
" w; q& T" s, g- |4 A, u( e7 rdealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
- Solution: Please check the provided reference or the vendor website.

- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
+ a/ F/ U4 q7 o2 Z"
6 P# f5 C+ t1 u* Q, m  A! vNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

In “config.asp”, wherever you have:
! g5 K  @; Z8 F- j5 o      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
- P, b( m: k; m% Y      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：
; }% W( z2 e2 J5 {+ `3 G2 d8 \
3 v% c* j& v0 N" ~( q3 P1.首先，aspx是禁止上传的
2.使用%00截断（url decode），第一次上传文件名会被转成_符号

* Z1 I: C) z  g: C/ V5 I1 N- S9 n: _

接下来，我们进行第二次上传时，奇迹就发生了

$ @+ p, T! l7 ~4 ?: E) N2 G3 E* {

) H8 R( c1 I5 ^9 a代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
0 C3 E% U0 y9 s' R5 ^0 Z
+ s" D+ L- I1 |" _& G
; @' K3 V/ j' J5 c9 N9 m
  w1 x, j/ p+ W3 ACKFinder/FCKEditor DoS漏洞

相比上个上传bug，下面这个漏洞个人觉得更有意思
6 I6 z: \6 C; D- l
. _) J4 v! V: ?) E
# D/ S9 G9 P. s$ l4 \8 c  F
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
' T( [* I+ R6 @$ s) V# I
. C/ \% V8 t/ DCKFinder ASP版本是这样处理上传文件的：

% F, [4 G5 N2 k当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。

2 X/ R. ^7 j/ L& t; ]那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）

0 k9 U. ^+ x6 j0 `5 O. H4 V5 Vdos方法也应运而生！
& g* R5 X8 t4 d4 G9 l0 c6 O  X3 [
3 ~% I  y$ Y8 M; ^/ f

1.上传Con.pdf.txt
1 J- _! ]9 s% k2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。

+ `, N- R' K) f