挖洞经验|UEditor编辑器存储型XSS漏洞

最新推荐文章于 2024-06-11 14:36:59 发布
最新推荐文章于 2024-06-11 14:36:59 发布
阅读量3.3k 收藏 4
点赞数
分类专栏: 暴力渗透测试 文章标签: java 数据库 网络安全 渗透测试 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/117387380
版权

前言

UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点。UEditor存在一个XSS漏洞,编辑器在定义过滤规则的时候不严和读取内容的时候的绕过导致了该漏洞,此漏洞已经上报,由于技术略菜,有分析不到位的还请多多见谅。

漏洞成因分析

漏洞文件产生在前端配置文件ueditor.config.js:

以下为纯文本粘贴为true时的过滤规则,对一些危险的标签没有做过滤,怪不得好多二次开发的。

//纯文本粘贴模式下的过滤规则 //'filterTxtRules' : function(){ // function transP(node){ // node.tagName = 'p'; // node.setStyle(); // } // return { // //直接删除及其字节点内容 // '-' : 'script style object iframe embed input select', // 'p': {$:{}}, // 'br':{$:{}}, // 'div':{'$':{}}, // 'li':{'$':{}}, // 'caption':transP, // 'th':transP, // 'tr':transP, // 'h1':transP,'h2':transP,'h3':transP,'h4':transP,'h5':transP,'h6':transP, // 'td':function(node){ // //没有内容的td直接删掉 // var txt = !!node.innerText(); // if(txt){ // node.parentNode.insertAfter(UE.uNode.createText('    '),node); // } // node.parentNode.removeChild(node,node.innerText()) // } // } //}()

如下图,在官方文档里也进行了说明,通过getContent和setContent方法用<p>标签读取编辑器内容

1617005619_60618c3350cbbf52665b5.png!small?1617005619486

#通getContent和setContent方法可以设置和读取编辑器的内容 var ue = UE.getEditor();//对编辑器的操作最好在编辑器ready之后再做ue.ready(function(){ //设置编辑器的内容 ue.setContent('hello'); //获取html内容,返回: <p>hello</p> var html = ue.getContent(); //获取纯文本内容,返回: hello var txt = ue.getContentTxt();});

HTML中的p标签为段落标签,目前所有主流浏览器都支持<p>标签。

从编辑器里的左上角显示html可以看出,是带有<p>标签的,所以在标签内写入payload是不被执行的

1617005741_60618cad57418d4fa5d14.png!small?1617005741335

1617005787_60618cdb55a481ca94b07.png!small?1617005787723

1617005749_60618cb5abaaefdb62d5a.png!small?1617005749735

如下图,在删除掉<p>标签后写入payload可触发XSS漏洞

1617005826_60618d020e509237a2884.png!small?1617005826019

1617005840_60618d10d6d6b15edb3f9.png!small?1617005840843

如果没有提交或者保存的功能,那么无法与数据库交互形成存储XSS,但是依然可多次点击左上角html按钮触发xss

1617006008_60618db845b43ac326228.png!small?1617006008695

漏洞利用

首先安装部署环境:https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3

存储型XSS需要写入后端数据库,这里要把编辑器部署到一个可与数据库交互的环境中。

首先我们打开编辑器输入正常的文本:

1617006369_60618f21778f46d9f3e6e.png!small?1617006369503

1617006404_60618f44963b9894db568.png!small?1617006404641

抓包并将<p>标签以及原本的文本删除

1617006439_60618f6743357de1b6253.png!small?1617006439339

插入payload:

%3Cp%3E1111111"><ImG sRc=1 OnErRoR=prompt(1)>%3Cbr%2F%3E%3C%2Fp%3E

1617006474_60618f8a7495ed8da15a6.png!small?1617006474352

成功触发存储型XSS漏洞

1617006515_60618fb3439e3d17ccab9.png!small?1617006515419

1617006641_60619031caf0d7311cafd.png!small?1617006642187

经笔者调查在互联网上存在着许多ueditor编辑器在线展示的网站,这些大都存在没有与后端交互的反射型XSS,但是如果存在与后端数据库交互的功能譬如一些写作平台即可形成存储型XSS漏洞,结合一些xss平台,或者再和其他漏洞配合形成组合拳,威力也不容小藐。

防御措施

1、修改 xss过滤白名单 配置文件ueditor.config.js,增加白名单过滤,比如对一些非法的参数和标签,像       <>、,",',img标签的onerror属性,script标签等进行自动转义,或者是强制的拦截并提示。

2、对输入的数据也进行html转义,使其不会识别为可执行脚本。

看到这里的大佬,动动发财的小手 点赞 + 回复 + 收藏,能【 关注 】一波就更好了

我是一名渗透测试工程师,为了感谢读者们,我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家,回馈每一个读者,希望能帮到你们。

干货主要有:

① 2000多本网安必看电子书(主流和经典的书籍应该都有了)

② PHP标准库资料(最全中文版)

③ 项目源码(四五十个有趣且经典的练手项目及源码)

④ 网络安全基础入门、Linux运维,web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ 渗透测试工具大全

⑦ 2021网络安全/Web安全/渗透测试工程师面试手册大全

各位朋友们可以关注+评论一波 然后加下QQ群:581499282  备注:csdn  联系管理大大即可免费获取全部资料(一起来群里聊天吹水阿)

我是黑客
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
UEditor上传导致 XSS漏洞复现
afei001
07-16 2547
UEditor是由百度「FEX前端研发团队」开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。UEditorv1.4.3.3中存在跨站脚本(XSS漏洞。...
UEditor上传导致 XSS漏洞自动化实现POC_基于POCsuite3
afei001
07-16 647
UEditor上传导致 XSS漏洞自动化实现POC_基于POCsuite3
js 前端防xss攻击——百度UEditor解决方案
两只橙的博客
11-02 9682
xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。  大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根
技术分享-ueditor漏洞利用&源码分析超详细分析
最新发布
baimao__Ch的博客
06-11 545
ueditor漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器的安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
百度html编辑器 xss,百度ueditor编辑器-xss漏洞
weixin_33871933的博客
06-25 1075
百度ueditor编辑器 xss漏洞一、漏洞简介产品官网下载地址:涉及版本:php , asp, jsp, net二、漏洞影响三、复现过程漏洞分析存在漏洞的文件:/php/getContent.php/asp/getContent.asp/jsp/getContent.jsp/net/getContent.ashx/php/getContent.php入进行了过滤,但是在14行输出时却使用了htm...
Ueditor的XML文件上传导致存储XSS(可以再试试xxe)和ssrf漏洞
weixin_50464560的博客
05-16 7500
UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储XSS - 『原创发布区』 - 大神论坛 |脱壳破解|易语言|病毒分析|www.dslt.tech 一、Ueditor最新版XML文件上传导致存储XSS 测试版本:php版v1.4.3.3 下载地址:https://github.com/fex-team/ueditor复现步骤: 1.上传一个图片文件 2.然后buprsuit抓包拦截 3.将uploadimage类改为uploadfile,并修改文件后...
老项目之UEditor漏洞问题
Mr.小灰狼_随笔
07-16 3654
老项目之UEditor漏洞问题 目录 1、文件上传漏洞 2、SSRF 漏洞 3、Upload XSS ueidtor 安全漏洞 _ UEditor SSRF 漏洞 ( JSP 版本 ) 分析与复现 1、项目所使用的 UEditor 组件存在 ssrf 漏洞 风险级别 : 低风险 风险分析 : 可通过此漏洞探测内容 ,甚至服务器权限...
html标签%3cp%3e,大神论坛 UEditor 富文本web编辑器最新漏洞 XML文件上传导致存储XSS...
weixin_29421565的博客
06-22 1272
大神论坛 UEditor 富文本web编辑器最新漏洞 XML文件上传导致存储XSS原创159768610802021-06-19 15:42:59©著作权©著作权归作者所有:来自51CTO博客作者15976861080的原创作品,如需转载,请注明出处,否则将追究法律责任https://blog.51cto.com/u_11440330/2927412## **一、Ueditor最新版XML文件上...
ueditor php 漏洞_XSS漏洞学习(一)Payload总结
weixin_39731271的博客
11-25 785
总结到最后还是有点乱, 将就看吧, 呜呜呜~有错误还请指出.基础知识弹窗的三个函数alert(7)prompt(7)confirm(7)on事件这里太多了, 没必要列完, 真用到其他事件时百度即可.onerror 错误onload 加载onclick 点击onchange 域的内容被改变onblur 元素失去焦点onfocus 元素获得焦点onmouseover 鼠标移...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
百度编辑器UEditor Asp版 v1.4.3
04-03
Ueditor是由百度web前端研发部开发所见即所得的编辑器,具有轻量,可定制,注重用户体验等特点。Ueditor基于BSD开源协议,除了具有代码精简、加载迅速的轻量级特质外,还采用了分层理念,使开发者可以根据实际应用和需求自由定制。 Ueditor编辑器划分为了三层架构。其中,核心层为开发者提供了诸如range、selection、domUtils类的底层API接口,中间的命令插件层不仅提供了大量的基础command,还允许开发者基于核心层进行command命令的开发,而面向用户端的界面层则可以提供自由定制的用户交互界面。Ueditor开源编辑器这种拥有可配性的模式,令开发者能够根据自身需要接入任何一层进行开发。 百度编辑器 v1.4.3 更新日志: 修复hasContents接口在非ie下只有空格时判断还为真的问题 修复在粘贴word内容时,会误命中cm,pt这样的文本内容变成px的问题 优化删除编辑器再创建编辑器时,编辑器的容器id发生变化的问题 修复提交jsonp请求时,callback参数的xss漏洞 新增jsp后台多种服务器配置下的路径定位 修复ZeroClipboard的flash地址参数名称错误 修复getActionUrl的bug 整理配置参数,把遗漏在代码中的配置项整理到ueditor.config.js里 修复图片拉伸工具和编辑拉伸长高器的样式冲突 修复文字的unicode编码会被错误再次解析问题 添加消息提示功能,冒泡提示信息 优化上传功能提示,当后端配置项没正常加载,禁用上传功能 修复单图上传按钮和jqueryValidate不兼容的问题 简化了与jqueryValidate的结合操作,具体看_examples/jqueryValidateDemo.html 修复在删除编辑器后,再次创建时丢失原有id的问题 修复查找替换在一些块节点中会导致替换错误
实战 UEditor 任意文件上传漏洞
sweelg的博客
09-08 1519
漏洞影响UEditor的.Net版本,其它语言版本暂时未受影响 影响版本 1.4.3.3 .NET。
实战纪实 | 编辑器漏洞Ueditor-任意文件上传漏洞 (老洞新谈)
zkaqlaoniao的博客
04-12 6410
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
大神论坛 UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储XSS
xiaotuge_always的博客
06-19 1700
一、Ueditor最新版XML文件上传导致存储XSS 测试版本:php版 v1.4.3.3 下载地址:https://github.com/fex-team/ueditor 复现步骤: 1. 上传一个图片文件 2. 然后buprsuit抓包拦截 3.将uploadimage类改为uploadfile,并修改文件后缀名为xml,最后复制上xml代码即可 4. 即可弹出xss 请注意http://controller.xxx的访问路径 http://192.168.10.1/ueditor1433/
ueditor java xss_富文本编辑器防止xss注入javascript版
weixin_36099799的博客
02-25 1183
富文本编辑器ueditor其实富文本编辑器已经有防止xss注入功能,但是你服务端程序在接收的时候在做一次转义,否则有可能然后前端验证直接提交数据导致被xss攻击。为了节省后端程序开销则在前端 显示的时候在此对代码进行编码,防止xss攻击。网上搜索果然发现有该实现类:测试地址http://jsxss.com/en/try.html(function e(t,n,r){function s(o,u)...
前端XSS攻击和防御
weixin_30455661的博客
04-21 257
  xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。   大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚...
富文本编辑器xss攻击
热门推荐
changhuzhao的专栏
05-18 1万+
富文本编辑器xss攻击在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。 对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找: 推荐使用UEditor 使用ESAPI
百度富文本编辑器UEditor配置及功能实现详解
weixin_52041354的博客
11-11 9586
"wordPathFormat": "/public/uploads/word/{yyyy}{mm}{dd}/{time}{rand:6}", /* 上传保存路径,可以自定义保存路径和文件名格式 */$preg = '/(\s+src\s?// 匹配所有的img。"wordActionName": "wordupload", /* 执行上传视频的action名称 */"wordAllowFiles": [".docx"] /* 仅支持docx格式的word */
UEditor编辑器任意文件上传
08-31
UEditor编辑器存在一个高危漏洞,即在抓取远程数据源时未对文件后缀名做验证,导致任意文件写入漏洞。黑客可以利用这个漏洞,在服务器上执行任意指令。这个漏洞只影响.NET版本的UEditor,其他版本暂时不受影响。 为了利用这个漏洞,黑客可以在UEditor编辑器中的shell地址处填写服务器上的图片马地址,构造成特定格式。例如,在URL中将图片马地址后缀更改为.aspx,绕过上传使其解析为aspx文件,从而达到任意文件上传的目的。 为了防止这个漏洞被利用,建议开发者及时更新UEditor编辑器的最新版本,并确保在抓取远程数据源时对文件后缀名进行验证。此外,也可以限制用户上传的文件类和大小,加强服务器的安全配置,以减少潜在的风险。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Ueditor编辑器任意文件上传漏洞](https://blog.csdn.net/m0_51468027/article/details/126077427)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Django集成百度富文本编辑器uEditor攻略](https://download.csdn.net/download/weixin_38613154/14865210)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值