FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文

# c0 A% t9 M& T- F+ m$ @# T; u原帖：http://club.freebuf.com/?/question/129#reply12

FCKEditor 2.6.8文件上传漏洞

+ I7 _6 Y$ c+ B5 p, S9 fExploit-db上原文如下：

' G1 k# G) I/ m& }' u, Y5 l( S6 z3 b: O- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
$ p+ f: h( z% [+ W# s- z- Credit goes to: Mostafa Azizi, Soroush Dalili
' k! Y. V) n$ }$ ~* O! R- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
- Description:
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
dealing with the duplicate files. As a result, it is possible to bypass
( i' c  z5 h# A: Fthe protection and upload a file with any extension.
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
/ `2 i1 z; e0 g  A" m9 s5 c- Solution: Please check the provided reference or the vendor website.
; m% `- ?- p6 X1 B& V$ m) D5 P
. N' O" q5 u) Y- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
"
1 @3 k5 y, `5 ^8 s5 V0 a' BNote: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

In “config.asp”, wherever you have:
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
Change it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：
) d: S# `3 m9 b9 v. i3 I
" }3 }4 d2 g1 G! r2 n1.首先，aspx是禁止上传的
2.使用%00截断（url decode），第一次上传文件名会被转成_符号


( {5 s! ]7 w# j! w, s( \* u
接下来，我们进行第二次上传时，奇迹就发生了
, C% |; b- A& w6 ~8 @4 e


4 l- I* ?% z5 x' p6 ~" x6 @0 w0 G代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
3 \* T* D0 @/ W2 v
. r6 D& ~  b' _- u: Z* ]

9 B7 e- P- G) Q6 g) o7 @CKFinder/FCKEditor DoS漏洞
  O4 Q2 }- P/ c: c0 _# N
相比上个上传bug，下面这个漏洞个人觉得更有意思
7 L* Z/ T( Y2 X8 N1 j


" }2 E/ {8 V" M" L, ~' oCKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。
6 n; B" G2 T; I
7 w6 L- c+ B! u8 ]9 S* o; q$ _CKFinder ASP版本是这样处理上传文件的：

当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。
/ d0 M( c; Q+ `% m+ }: k
: r+ E" m& B" D; r6 J: ~. i那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）

dos方法也应运而生！
- ~! V9 r6 q+ L- j% W/ w% _6 v: p


1.上传Con.pdf.txt
' R( I+ K7 Y, K0 d2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
" u: A0 d0 |7 A6 e+ G