FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文
5 o5 }. r8 f+ F6 `6 q
原帖：http://club.freebuf.com/?/question/129#reply12
  X- M  ~" A/ n; F. Q% ]- X/ }
FCKEditor 2.6.8文件上传漏洞

Exploit-db上原文如下：
/ P" e; r1 k% p9 @* N
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
- Credit goes to: Mostafa Azizi, Soroush Dalili
- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
- Description:
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
/ `8 A+ q; n( H2 m1 ~) C$ Hdealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
' C" x: l: B, v( M- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
0 @+ n+ q, r. ]) Y/ A- Solution: Please check the provided reference or the vendor website.
! i2 m, N  w1 K% g
- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
. K- h" @; U% x5 a5 c" x) T"
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

In “config.asp”, wherever you have:
& D4 b9 O' N% d/ @      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：
. T2 q' c$ c  P( W) L2 @
1.首先，aspx是禁止上传的
  o* Q( P  n, }5 J" u$ Y4 p! z* y% v5 M2.使用%00截断（url decode），第一次上传文件名会被转成_符号
) g( @% S2 M: E" e


接下来，我们进行第二次上传时，奇迹就发生了


. }# o+ }* D  Z- @
- l! i$ r) U$ e3 J代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html


9 D, C+ B6 u3 _  ]! i' d
- e3 }' i. ~# B6 I; {CKFinder/FCKEditor DoS漏洞

1 \8 }) h6 B6 ]$ ]相比上个上传bug，下面这个漏洞个人觉得更有意思
" [3 |+ C2 @3 v: A# N


6 p- K% H+ q. P( K1 o. k1 B: uCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
! J) g+ L7 ]: j6 S
; Y6 i8 \, f2 }8 A! T* K. GCKFinder ASP版本是这样处理上传文件的：

" A9 ^! t7 x2 q1 I, e1 Q; y当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。
! k: }! ~- T, q6 P6 T* M
那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）

dos方法也应运而生！
! o9 h* j5 l9 S, J
. b7 P' D6 E: Q' k- o+ ?* }1 c/ D$ x

1.上传Con.pdf.txt
2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
0 m* e, l  q' Y3 d  ?8 A