UEditor 1.4.3.3的SSRF漏洞

最新推荐文章于 2024-04-26 09:27:37 发布
最新推荐文章于 2024-04-26 09:27:37 发布
阅读量5.4k 收藏 3
点赞数 1
分类专栏: 漏洞利用 文章标签: 漏洞利用
我希望自己永远怀着一颗学习的心!
本文链接:https://blog.csdn.net/q1352483315/article/details/102527811
版权

产生漏洞的代码片段: ueditor\php\Uploader.class.php

private function saveRemote()
{
    $imgUrl = htmlspecialchars($this->fileField);
    $imgUrl = str_replace("&", "&", $imgUrl);

    //http开头验证 如果不是的话 就return
    if (strpos($imgUrl, "http") !== 0) {
        $this->stateInfo = $this->getStateInfo("ERROR_HTTP_LINK");
        return;
    }

    preg_match('/(^https*:\/\/[^:\/]+)/', $imgUrl, $matches);
    $host_with_protocol = count($matches) > 1 ? $matches[1] : '';

    // 判断是否是合法 url
    if (!filter_var($host_with_protocol, FILTER_VALIDATE_URL)) {
        $this->stateInfo = $this->getStateInfo("INVALID_URL");
        return;
    }

    preg_match('/^https*:\/\/(.+)/', $host_with_protocol, $matches);
    $host_without_protocol = count($matches) > 1 ? $matches[1] : '';

    // 此时提取出来的可能是 ip 也有可能是域名,先获取 ip
    $ip = gethostbyname($host_without_protocol);
    // 判断是否是私有 ip
    if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE)) {
        $this->stateInfo = $this->getStateInfo("INVALID_IP");
echo "<br>判断是否是私有 ip<br>";
        return;
    }
    //获取请求头并检测死链
    $heads = get_headers($imgUrl, 1);
    if (!(stristr($heads[0], "200") && stristr($heads[0], "OK"))) {
        $this->stateInfo = $this->getStateInfo("ERROR_DEAD_LINK");
        return;
    }
    //格式验证(扩展名验证和Content-Type验证)
    $fileType = strtolower(strrchr($imgUrl, '.'));
    if (!in_array($fileType, $this->config['allowFiles']) || !isset($heads['Content-Type']) || !stristr($heads['Content-Type'], "image")) {
        $this->stateInfo = $this->getStateInfo("ERROR_HTTP_CONTENTTYPE");
        return;
    }

    //打开输出缓冲区并获取远程图片
	ob_start();
	$context = stream_context_create(
	    array('http' => array(
	        'follow_location' => false // don't follow redirects
	    ))
	);
	readfile($imgUrl, false, $context);
	$img = ob_get_contents();
	ob_end_clean();
    ...省略...

检测流程:
1、http开头验证
2、判断是否是合法 url
3、判断是否是私有 ip
4、获取请求头并检测死链
5、格式验证(扩展名验证和Content-Type验证)

PHP FILTER_VALIDATE_IP 过滤器:

FILTER_FLAG_IPV4 - 要求值是合法的 IPv4 IP(比如 255.255.255.255FILTER_FLAG_IPV6 - 要求值是合法的 IPv6 IP(比如	2001:0db8:85a3:08d3:1319:8a2e:0370:7334FILTER_FLAG_NO_PRIV_RANGE - 要求值是 RFC 指定的私域 IP (比如 192.168.0.1FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 范围内。该标志接受 IPV4IPV6 值。

两种方法可以绕过:
1、正则绕过

在第五步检测之前 唯一起到限制的就是preg_match('/(^https*:\/\/[^:\/]+)/', $imgUrl, $matches);,那么就说明我们只要绕过这条正则表达就可以了,那么其实就是一个正常的URL。

2、利用DNS重绑定

参考文章:
http://admintony.com/UEditor-1-4-3-3-SSRF-AND-DNS-rebinding-attack.html

http://www.bendawang.site/2017/05/31/%E5%85%B3%E4%BA%8EDNS-rebinding%E7%9A%84%E6%80%BB%E7%BB%93/

小鱼儿waha
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ueditor Version 1.4.3.3 SSRF
dengzhasong7076的博客
02-20 1213
发点以前挖的洞。Ueditor是支持获取远程图片,较为经典的进行限制url请求,但是可以通过DNS重绑定绕过其验证. 代码分析 一般请求的url如下,其中source为数组,值为图片地址: /editor/ueditor/php/controller.php?action=catchimage&source[]=https://ss0.bdstatic.com/5aV1bjqh_...
ueidtor安全漏洞_UEditor SSRF漏洞(JSP版本)分析与复现
weixin_33318722的博客
12-31 4709
作者: 浮萍@猎户安全实验室公众号:[猎户安全实验室](https://mp.weixin.qq.com/s/OPbyYQNWiN2dy_BHhqd9eg "猎户安全实验室")前些时间测试的时候遇到了一个系统采用了UEditor编辑器,版本为1.4.3。已知该编辑器v1.4.3版本存在SSRF漏洞,虽然是Bool型的SSRF,除了可以进行内网探测外,也可以根据web应用指纹信息,之后进行进一步的测...
技术分享-ueditor漏洞利用&源码分析超详细分析
最新发布
zz12345600354的博客
04-26 595
ueditor漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器的安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
Ueditor的XML文件上传导致存储型XSS(可以再试试xxe)和ssrf漏洞
weixin_50464560的博客
05-16 7236
UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储型XSS - 『原创发布区』 - 大神论坛 |脱壳破解|易语言|病毒分析|www.dslt.tech 一、Ueditor最新版XML文件上传导致存储型XSS 测试版本:php版v1.4.3.3 下载地址:https://github.com/fex-team/ueditor复现步骤: 1.上传一个图片文件 2.然后buprsuit抓包拦截 3.将uploadimage类型改为uploadfile,并修改文件后...
记一次SSRF漏洞的学习和利用
2301_77157449的博客
04-27 1368
本文主要记录一次我们在复盘嘶吼网站渗透报告时遇到的一个SSRF漏洞。此漏洞并结合腾讯云的API接口,可以获取大量嘶吼服务器的敏感信息。利用这些敏感信息,又可以进行更为深入的渗透。这篇文章将会发表在嘶吼网站上,渗透测试也是经过了嘶吼的官方授权,各位读者可以放心食用。本篇中提到的漏洞已于2019年修复完毕,大家就不要再尝试了,此外,温馨提示:未授权的渗透行为是非法的。�SSRF(Server-Side Request Forgery, 服务器端请求伪造) 是一种由攻击者利用服务端发起请求的一个安全漏洞
ssrf漏洞php代码审计1
m0_55772907的博客
04-30 1047
(1)原理 web服务器经常需要从别的服务器获取数据,比如文件载入、图片拉取、图片识别等功能,如果获取数据的服务器地址可控,攻击者就可以通过web服务器自定义向别的服务器发出请求。因为web服务器常搭建在DMZ区域,因此常被攻击者当作跳板,向内网服务器发出请求。 (2)分类 1)curl_exec 发现存在url传递。在这里提交url参数和内容,服务器用函数curl_exec()执行,并将结果输出 在下面页面做测试发现可以正常跳转,所以可以在此去执行一些恶意操作。 2)file_get_co.
ssrf漏洞内网渗透_SSRF
weixin_39856630的博客
12-05 1083
一、SSRF是什么?如何产生的?危害有哪些?SSRF是攻击者利用服务端A的漏洞,利用服务端A的身份,发起对服务端A本身,或者服务端B的攻击请求。http://www.aaaaa.com/ssrf.php?url=http://www.bbbbb.com如上就是一个标准的ssrf漏洞,当攻击者点击这个链接时,相当于攻击者利用aaaaa访问了bbbbb。攻击者——有漏洞的服务器A——服务器A...
ueditor-1.4.3.3-完整版+PHP版本.zip
03-02
ueditor-1.4.3.3-完整版+PHP版本
ueditor-1.4.3.3 jsp版本源码(UTF-8)
05-01
ueditor-1.4.3.3 jsp版本源码(UTF-8)
ueditor-1.4.3.3(utf-8 jsp)2.zip
07-08
ueditor-1.4.3.3 jsp版本源码(UTF-8),关于springmvc集成ueditor,可以参考我的文章:https://blog.csdn.net/qq_34688048/article/details/94735176
ueditor-1.4.3.3-asp.zip
08-20
.netcore使用的配置好的富文本编辑器,具体使用博客:https://blog.csdn.net/ylsxw/article/details/108129444
百度编辑器UEditor v1.4.3 PHP版 GBK
05-10
UEditor1.4.3更新说明修复hasContents接口在非ie下只有空格时判断还为真的问题 修复在粘贴word内容时,会误命中cm,pt这样的文本内容变成px的问题 优化删除编辑器再创建编辑器时,编辑器的容器id发生变化的问题 修复提交jsonp请求时,callback参数的xss漏洞 新增jsp后台多种服务器配置下的路径定位 修复ZeroClipboard的flash地址参数名称错误 修复getActionUrl的bug 整理配置参数,把遗漏在代码中的配置项整理到ueditor.config.js里 修复图片拉伸工具和编辑拉伸长高器的样式冲突 修复文字的unicod
百度编辑器UEditor 1.4.3.3 完整版.zip
06-08
百度编辑器UEditor 1.4.3.3 完整版.zip
php upload漏洞
lovetina2017的博客
05-21 685
在upload.php(你的上传文件)这个值限制一下
UEditor .Net版本任意文件上传漏洞复现
m0_37638874的博客
06-08 3099
  漏洞背景   漏洞影响   漏洞利用   漏洞分析漏洞背景漏洞影响漏洞利用首先准备一个html文件用来做post提交 action处填写网站的路径 另外:enctype="application/x-www-form-urlencoded"什么意思?打开html后如下 这个时候我们需要一台服务器用来放图片木马,服务器可以去阿里云、华为云等申请免费的我们准备一张的图片跟一个小马,小马代码如下 用命令合成图片木马 我们把此木马上传到我们的服务器,记住服务器图片路径在之前的里填写如下参数 是我们服务器的地址后
实战纪实 | 编辑器漏洞Ueditor-任意文件上传漏洞 (老洞新谈)
zkaqlaoniao的博客
04-12 4397
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
ue编辑器漏洞_【华中科技大学 - 漏洞预警】百度 UEditor web 编辑器 v1.4.3 等多个版本存在 SSRF 漏洞...
weixin_39982933的博客
12-21 839
近日,互联网上公开了UEditor编辑器v1.4.3版本的SSRF漏洞信息及分析复现材料。该漏洞是Bool型的SSRF,除了可以进行内网探测外,也可以根据web应用指纹信息,进行进一步测试。目前,官方已更新版本修复了上述漏洞。建议用户关注该漏洞,并及时与相关网站开发单位确认是否受到漏洞影响,尽快采取修补措施。漏洞概述UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,...
网安之web攻防第三十三天
B_l_a_nk的博客
04-06 186
1、中间件配置不当导致文件被恶意解析 2、CMS源码引用外部编辑器实现文件上传
UEditor漏洞
热门推荐
2ed
07-29 1万+
UEditor是由百度开发的开源富文本编辑器,开源基于BSD协议,小巧灵活,使用简单,有很多web程序在使用UEditor编辑器。该任意文件上传漏洞存在于1.4.3.3和1.5.0版本中,并且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器。
ueditor v1.4.3.2
08-25
UEditor v1.4.3.2是一款基于HTML的所见即所得富文本编辑器。它为网页开发人员提供了一种简单而强大的方式来在网站中添加编辑器功能。UEditor v1.4.3.2具备丰富的编辑功能,包括文本格式化、插入图片、插入视频、插入表格、插入代码等。 该版本的UEditor还具有一些新功能和改进。其中,改进的异步上传插件可以更高效地上传文件;优化的图片上传插件可以更好地处理图片上传和编辑;新增的代码高亮插件使代码在编辑器中显示更清晰。此外,UEditor的整体性能也得到了提升,加载速度更快,编辑和保存的稳定性更强。 除了以上功能和改进外,UEditor v1.4.3.2还提供了丰富的配置选项,使开发人员能够根据自己的需求进行个性化设置。它还支持多语言,可以根据用户的语言环境自动切换显示语言。 UEditor v1.4.3.2是一款免费开源的编辑器,具有广泛的应用领域,可以用于各种网站的内容编辑,如博客、论坛、新闻网站等。它简单易用,同时可以满足不同用户的编辑需求,因此备受开发者和用户的喜爱。 总之,UEditor v1.4.3.2是一款功能强大、稳定性高、易于配置和使用的富文本编辑器,拥有丰富的编辑功能和改进。它是网页开发人员的首选工具,能够有效提升网站编辑体验和用户互动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值