FCKEditor 2.6.8文件上传和CKFinder/FCKEditor DoS漏洞

admin

感谢生生不息在freebuf社区”分享团”里给出线索，才有了本文
& D; T+ E! d9 X( ]! |4 o
$ R& u  t, H( M- t原帖：http://club.freebuf.com/?/question/129#reply12

FCKEditor 2.6.8文件上传漏洞

Exploit-db上原文如下：
# n3 m: b* Z9 Z; m3 P2 g1 c% Q
- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass
  k' a8 u5 b8 n  M5 I5 R9 [$ n6 H- Credit goes to: Mostafa Azizi, Soroush Dalili
5 ^9 }0 V- x2 ?- Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/
- Description:
There is no validation on the extensions when FCKEditor 2.6.8 ASP version is
dealing with the duplicate files. As a result, it is possible to bypass
the protection and upload a file with any extension.
- Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/
, ]* m9 L$ r. ~' G. R; K- Solution: Please check the provided reference or the vendor website.

  S5 |! H; ~) [- ~- T# j- PoC:http://www.youtube.com/v/1VpxlJ5 ... ;rel=0&vq=hd720
, w+ z5 G) R, s5 s/ b"
Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass:

2 w4 l- D3 b: H! BIn “config.asp”, wherever you have:
      ConfigAllowedExtensions.Add    “File”,”Extensions Here”
  S* z$ j5 c3 T  XChange it to:
      ConfigAllowedExtensions.Add    “File”,”^(Extensions Here)$”在视频（需翻墙）里，我们可以看的很清楚：
4 M2 P$ y# E5 M4 f3 W, R
6 w+ Z7 V2 Z8 f, }: o8 s' C1.首先，aspx是禁止上传的
2.使用%00截断（url decode），第一次上传文件名会被转成_符号
- E3 K' Q' j5 U, N- X

, j. z1 l- h9 H+ @$ W3 F) k5 r
接下来，我们进行第二次上传时，奇迹就发生了


1 J8 y- i6 c8 L; O8 x
代码层面分析可以看下http://lanu.sinaapp.com/ASPVBvbscript/121.html
4 {3 a; g+ n( s. L
5 Q6 _( J# L6 C6 P& z# h

CKFinder/FCKEditor DoS漏洞

' P" C& v4 S: T1 u  ^相比上个上传bug，下面这个漏洞个人觉得更有意思
; O- j$ B. }2 q) u6 f6 J

( J1 u' l7 W8 v' ^" p0 f# X
CKFinder是一个强大而易于使用的Web浏览器的Ajax文件管理器。 其简单的界面使得它直观，快速学习的各类用户，从高级人才到互联网初学者。

+ P+ u( r1 T+ |2 v6 [CKFinder ASP版本是这样处理上传文件的：

当上传文件名已存在时，会进行迭代重命名，比如file(1).ext存在了，会尝试重命名为file(2).ext……直到不重复为止。
1 F' D$ i5 q- R7 R  r
5 N: X8 {9 Y% F: V* Z% Z8 ^那么现在有趣的事情来了——windows是禁止”con”作为文件名的（关于这个问题我印象中很久以前，win也有过con文件名漏洞，有兴趣可以确认下）
2 @4 Q7 ~; _8 J% U2 ?- `$ `* I; W+ U
dos方法也应运而生！



3 s* \% t  K& c9 y1.上传Con.pdf.txt
2.CKFinder认为“Con.pdf.txt” 已被占用，于是开始尝试Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt从而对服务器形成致命dos。
1 d5 ?; L7 X" ^0 P