FCKEditor 2.6.8文件上傳和有趣的DoS漏洞

原帖： http://club.freebuf.com/?/question/129#reply12

FCKEditor 2.6.8文件上傳漏洞

Exploit-db上原文以下：

- Title: FCKEditor 2.6.8 ASP Version File Upload Protection bypass - Credit goes to: Mostafa Azizi, Soroush Dalili - Link:http://sourceforge.net/projects/fckeditor/files/FCKeditor/ - Description: There is no validation on the extensions when FCKEditor 2.6.8 ASP version is dealing with the duplicate files. As a result, it is possible to bypass the protection and upload a file with any extension. - Reference: http://soroush.secproject.com/blog/2012/11/file-in-the-hole/ - Solution: Please check the provided reference or the vendor website. - PoC:http://www.youtube.com/v/1VpxlJ5jLO8?version=3&hl=en_US&rel=0&vq=hd720 " Note: Quick patch for FCKEditor 2.6.8 File Upload Bypass: In 「config.asp」, wherever you have: ConfigAllowedExtensions.Add 「File」,」Extensions Here」 Change it to: ConfigAllowedExtensions.Add 「File」,」^(Extensions Here)$」

在視頻（需fanqiang）裏，咱們能夠看的很清楚：

1.首先，aspx是禁止上傳的
2.使用%00截斷（url decode），第一次上傳文件名會被轉成_符號

接下來，咱們進行第二次上傳時，奇蹟就發生了

代碼層面分析能夠看下http://lanu.sinaapp.com/ASPVBvbscript/121.html

CKFinder/FCKEditor DoS漏洞

相比上個上傳bug，下面這個漏洞我的以爲更有意思

CKFinder是一個強大而易於使用的Web瀏覽器的Ajax文件管理器。 其簡單的界面使得它直觀，快速學習的各種用戶，從高級人才到互聯網初學者。

CKFinder ASP版本是這樣處理上傳文件的：

當上傳文件名已存在時，會進行迭代重命名，好比file(1).ext存在了，會嘗試重命名爲file(2).ext……直到不重複爲止。

那麼如今有趣的事情來了——windows是禁止」con」做爲文件名的（關於這個問題我印象中好久之前，win也有過con文件名漏洞，有興趣能夠確認下）

dos方法也應運而生！

1.上傳Con.pdf.txt 2.CKFinder認爲「Con.pdf.txt」 已被佔用，因而開始嘗試Con.pdf(1).txt，Con.pdf(2).txt……Con.pdf(MaxInt).txt