【ueditor】任意文件上传漏洞与解决方案

于 2024-08-02 12:04:32 发布
阅读量772 收藏 20
点赞数 18
文章标签: c# asp.net 后端 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012931622/article/details/140866604
版权

UEditor 是一款颇为老旧的富文本编辑器,曾经普遍流行过所以在一些老的项目里面,还会存在。但是该项目到目前为止已经永久停止更新,所以当发现漏洞时,只能自己维护。最好停止使用并更换富文本编辑器组件,个人推荐modstart-lib/ueditor-plusNotadd/Neditor。这些都是UEditor为核心的二次开发项目,方便升级。

1、漏洞原理

网上关于这个漏洞已经有了十分详细的解释、各路大神已经指明了道路,这边简单介绍一下出现的位置与原理。

1.1出现漏洞的代码位置

文件上传漏洞影响UEditor 的.Net版本,其他版本暂未影响,漏洞出现在图中的CrawlerHandler.cs中,其中controller.ashx是入口。

ueditor 后端工程

在这里插入图片描述
UEditor 在抓取远程数据源的时候,会进入【catchimage】这个分支里面。然后就进入了漏洞出现的CrawlerHandler类中。

在这里插入图片描述

上面是CrawlerHandler类中的漏洞位置,最重要的是if判断语句,只是对ContentType进行了简单的验证,这个黑客留下了余地。

1.2 漏洞实现原理

既然在1.1中已经了解了在图片验证时只验证了ContentType,那我就可以通过工具修改ContentType,躲避掉这个判断,然后就可以进入到接下来的流程中。

而接下来就是下载到服务器操作,从而可以上传全部类型的文件,只需要你自己拥有一台服务器即可。

这个漏洞危险程度之高甚至能获取到服务器的高级权限。具体做法是修改ContentType伪装自己是图片,然后在路径里添加?.aspx绕过获取文件名的检测,然后你就能向服务器上传aspx动态页面文件,从而获取webshell,到了这一步服务器就已经被攻破了。

2.漏洞修复

推荐的修复方式就是在CrawlerHandler类添加文件类型检查的代码,使用各类WAF软件增强服务器防护等级。

网上大部分关于如何添加文件类型检查都只是建议并没有具体实现,这里提供了一个简单的实现方式仅供参考。

 static bool IsImage(HttpWebResponse response)
    {
        using (Stream responseStream = response.GetResponseStream())
        {
            if (responseStream == null || !responseStream.CanRead)
            {
                return false;
            }

            byte[] buffer = new byte[40]; // 40个字节应该足够涵盖大多数格式的文件头
            int bytesRead = responseStream.Read(buffer, 0, buffer.Length);

            return IsJPEG(buffer, bytesRead) || IsPNG(buffer, bytesRead) || IsGIF(buffer, bytesRead)
        }
    }
    
    static bool IsJPEG(byte[] buffer, int bytesRead)
    {
        return bytesRead >= 3 &&
               buffer[0] == 0xFF &&
               buffer[1] == 0xD8 &&
               buffer[2] == 0xFF;
    }

    static bool IsPNG(byte[] buffer, int bytesRead)
    {
        return bytesRead >= 8 &&
               buffer[0] == 0x89 &&
               buffer[1] == 0x50 &&
               buffer[2] == 0x4E &&
               buffer[3] == 0x47 &&
               buffer[4] == 0x0D &&
               buffer[5] == 0x0A &&
               buffer[6] == 0x1A &&
               buffer[7] == 0x0A;
    }

    static bool IsGIF(byte[] buffer, int bytesRead)
    {
        return bytesRead >= 6 &&
               buffer[0] == 0x47 &&
               buffer[1] == 0x49 &&
               buffer[2] == 0x46 &&
               buffer[3] == 0x38 &&
               (buffer[4] == 0x39 || buffer[4] == 0x37) &&
               buffer[5] == 0x61;
    }

尽可能小的改动量下,对类型进行验证,在此代码中:

  • 读取响应流的前几个字节。
  • 通过检查图像格式的特定魔数来判断响应是否为图片格式。

这里列举了4中类型(jpg\jpeg、png、gif)进行判断,可扩展。

通过读取响应流的前几个字节来判断文件类型,实际上已经是一种相对较为安全和通用的方法,特别是在ContentType不可用或不可靠的情况下。这是因为文件头(或魔数)通常是标识文件类型的更直接和可靠的方式。

抓狂的猫咪
关注
  • 18
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
UEditor 任意文件上传漏洞
mei_13的博客
07-08 1万+
1 漏洞简介 1.1 漏洞描述 Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。 1.2 影响范围 该漏洞影响UEditor的.Net版本,其它语言版本暂时未受影响。 1.3 漏洞原理 漏洞的成因是在获取图片资源时仅检查了ContentType,导致可以绕过达
实战 UEditor 任意文件上传漏洞
sweelg的博客
09-08 1579
漏洞影响UEditor的.Net版本,其它语言版本暂时未受影响 影响版本 1.4.3.3 .NET。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 561
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
1day 未公开 易思智能物流无人值守系统ueditor接口存在任意文件上传漏洞
最新发布
weixin_43167326的博客
06-26 495
易思无人值守智能物流系统是一款集成了人工智能、机器人技术和物联网技术的创新产品。它能够自主完成货物存储、检索、分拣、装载以及配送等物流作业,帮助企业实现无人值守的智能物流运营,提高效率、降低成本,为现代物流行业带来新的发展机遇。
技术分享-ueditor漏洞利用&源码分析超详细分析
zzz6583zz的博客
06-14 489
ueditor漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器的安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
UEditor v1.4.3.3 .net版本任意文件上传 漏洞复现
Boom!脑洞大爆炸的博客
07-07 6677
UEditor v1.4.3.3 .net版本任意文件上传 漏洞复现
实战纪实 | 编辑器漏洞Ueditor-任意文件上传漏洞 (老洞新谈)
zkaqlaoniao的博客
04-12 9246
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
Ueditor编辑器任意文件上传漏洞
m0_51468027的博客
07-30 1万+
一文学习Ueditor编辑器任意文件上传漏洞(部署环境到漏洞复现)
百度控件ueditor图片上传到远程服务器解决方案
03-08
百度控件ueditor图片上传到远程服务器解决方案 一、搭建ueditor环境 二、修改源码 三、重新编译源码 四、使用说明
UEditor JSP 版本配置以及文件上传配置方法
10-12
UEditor JSP 版本配置以及文件上传配置方法 UEditor 是一个功能强大且灵活的富文本编辑器,广泛应用于 Web 开发中。在 JSP 版本中,正确配置 UEditor文件上传功能非常重要,本文将指导您完成 UEditor JSP 版本的...
ueditor漏洞修复
02-11
 Ueditor编辑器上传漏洞导致getshell  漏洞存在版本:1.4.3.3 Net版(目前最新版本,已停更) 二、修复文件 ueditor\net\App_Code\CrawlerHandler.cs 下载本附件,按上述路径覆盖文件即可。实测可用。
ueditor上传文件完全版本.rar
01-02
【标题】"ueditor上传文件完全版本.rar"指的是一个压缩包,其中包含了ueditor编辑器的一个完整版本,特别强调了其文件上传功能的优化和修复。ueditor是一款广泛使用的富文本在线编辑器,它提供了丰富的功能,使得...
UEditor 编辑器跨域上传解决方法
10-27
然而在使用过程中,当UEditor编辑器尝试上传图片或其他文件时,开发者常常会遇到跨域问题,这主要是由于同源策略导致的问题。同源策略是浏览器的一个安全机制,用于限制一个域下的脚本如何与另一个域下的资源进行...
ueditor编辑器任意文件上传
xxx9686的博客
09-15 2866
通过上传文件看到上传功能位于controller.php文件action中uploadimage 参数。通过查看controller.php文件,看到文中上传功能调用到了action_upload.php文件。事情起源于项目,本身我并没有关注过ueditor方面,遇到一个网站也是纯属尝试下,但是居然搞定了。那就从官方下载代码来看下额。
UEditor .net版本任意文件上传
qax
11-22 1018
UEditor .net版本任意文件上传 简介 ueditor是百度官方技术团队开发的一套前端编辑器,可以上传图片,写文字,支持自定义的html编写,移动端以及电脑端都可以无缝对接,自适应页面,图片也可以自动适应当前的上传路径与页面比例大小,一些视频文件的上传,开源,高效,稳定,安全,一直深受站长们的喜欢。 百度的UEditor文本编辑器,近几年很少被曝出漏洞,事情没有绝对的,总会有漏洞,这次被曝出的漏洞是.net版本的,其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存
网站漏洞修复之最新版本UEditor漏洞
热门推荐
网站安全专家
08-30 12万+
UEditor于近日被曝出高危漏洞,包括目前官方UEditor 1.4.3.3 最新版本,都受到此漏洞的影响,ueditor是百度官方技术团队开发的一套前端编辑器,可以上传图片,写文字,支持自定义的html编写,移动端以及电脑端都可以无缝对接,自适应页面,图片也可以自动适应当前的上传路径与页面比例大小,一些视频文件的上传,开源,高效,稳定,安全,一直深受站长们的喜欢。 百度的UEditor文...
ueditor php文件上传漏洞
06-06
UEditor的PHP版本的文件上传漏洞主要是由于后台没有进行严格的文件类型、大小和内容的检测,攻击者可以通过修改上传文件的文件名和后缀来绕过检测,上传恶意文件,从而在服务器上执行任意代码。 攻击者可以通过以下方式来利用文件上传漏洞: 1. 修改文件名和后缀:攻击者可以将恶意文件的文件名和后缀修改为常见的图片、文档或者压缩文件的后缀名,来绕过后台的文件类型检测。比如将恶意文件的文件名修改为“test.jpg”,就可以上传一个恶意的PHP文件,并且绕过后台的检测。 2. 绕过文件大小限制:攻击者可以通过改变文件上传请求中的Content-Length值,来绕过后台的文件大小限制。比如,攻击者可以使用Burp Suite等工具,修改Content-Length值,将一个超过限制大小的文件上传到服务器。 为了防止文件上传漏洞的利用,应该对上传的文件进行严格的文件类型、大小和内容的检测。具体措施可以包括: 1. 对上传文件的后缀名进行白名单过滤,只允许上传指定的文件类型。 2. 对上传文件的大小进行限制,限制上传文件的大小不能超过最大限制值。 3. 对上传文件的内容进行检测,防止上传恶意文件。 4. 对上传目录进行安全设置,禁止直接访问上传目录下的文件。 5. 定期清理上传目录,删除不必要的文件。 总之,为了保障网站的安全性,必须加强文件上传的安全控制,防止恶意文件的上传和执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值