FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文

" ~/ ?- e- m. d% G( F- F原帖：http://club.freebuf.com/?/question/129#reply12
+ l$ R! J) {( ^/ |
  B, {6 \: T. \0 `0 ?2 x, Z4 WFCKEditor 2.6.8文件上传漏洞

) Z+ Q4 ]4 z8 p7 N; DExploit-db上原文如下：
9 E: L( A1 `; W! M' ^, d( H
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
- Credit goes to: Mostafa Azizi, Soroush Dalili
& J% T" V, e9 @% B5 W/ T6 t- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
- Description:
  A9 o  x, a% @- JThere is no validation on the extensions when FCKEditor 2.6.8 ASP version is
6 V% E5 _4 C' g9 }dealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
$ \4 p( p! D2 D  `" D1 U* g- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
- Solution: Please check the provided reference or the vendor website.

- g$ l  E6 b" X! t- d0 ~- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
/ r3 U& B0 x' }4 J* q5 a8 x) _6 Z"
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

+ a- n7 S6 R9 H2 d; ]) ZIn “config.asp”, wherever you have:
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：

9 d( W0 R" m. R4 \: [1.首先，aspx是禁止上传的
2.使用%00截断（url decode），第一次上传文件名会被转成_符号



/ u- e  h; b# c) B: T接下来，我们进行第二次上传时，奇迹就发生了


9 ]/ S  ^7 s# Z* }& M7 w6 h3 _
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html



CKFinder/FCKEditor DoS漏洞
% q1 U8 S" M+ L; T; O/ l
相比上个上传bug，下面这个漏洞个人觉得更有意思
$ x3 y* a( i( M4 _# `& a
. v7 ~' s6 e' K. R8 u

CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。

CKFinder ASP版本是这样处理上传文件的：

7 i2 d. Y0 p+ b当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。
  S, c. f6 w/ |( O* @: i
$ W. W2 [/ ^$ M' r  i, [5 j2 j那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）
) i) }! U+ S; \& V
dos方法也应运而生！


. Y( s7 I3 f  {3 ~' U% }
1.上传Con.pdf.txt
0 P* |9 q4 v+ T2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
* |6 q9 J- a" E7 K8 A