.exp文件_UEditor编辑器任意文件上传漏洞分析

最新推荐文章于 2024-04-12 14:45:00 发布
最新推荐文章于 2024-04-12 14:45:00 发布
阅读量249 收藏
点赞数
文章标签: .exp文件 ashx文件 验证是否登录 aspx ttf文件加载不出来 ueditor上传图片配置 ueditor漏洞 怎么引用json文件里面的其中一部分

更多全球网络安全资讯尽在邑安全

ue下载地址
http://http://ueditor.baidu.com/website/download.html
exp

<form action="http://192.168.1.103/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"  method="POST"><p>shell addr:<input type="text" name="source[]" />p ><inputtype="submit" value="Submit" />form>

87f0d113f5fbd8e00170cefca173d3e2.png

我们首先来看一下目录结构

ue是一个典型的net web

bin目录和app_code目录其中bin下面引用的是jsondll 因此这里我们不分析dll

ce861f0f330579cfa2b7e08f7ebaec39.png

主要还是看app_code目录下面的cs文件 首先随便跟进一个方法看看有没有任意文件上传的可能性

首先看到uploadimages方法

15b5eda2a2db5daee17d12b29def4364.png而这里正好是因为引用了上面的dll 所以可以直接加载json

这里第一步先实例化UploadHandler类 然后第二部从json获取各种配置信息 穿给类里面的值

039e3e575d048e1e409a653c8f8d0532.png传递完成值后直接开始上传方法

37db6d888c257287c83e0d5af665ff95.png然后对上传文件进行判断

b20f028505742cd7a4bd55bbe82bc32f.png我们跟进方法

db4543b2058fe480e11fb2844dd7d26d.png那么漏洞是怎么形成的呐?

漏洞在CrawlerHandler这个类里面

2c5dc669ce2f891c7e9b676ad2139408.png如果访问则直接判断返回文件的ContentType 这里我们可以直接Content-Type: image/png绕过

ec7eaf5a550e84be34e2ad83c7e7b730.png这里先传入source[] 然后实列化Crawler类 我们进入这个class查看 首先通过IsExternalIPAddress方法判断是否是一个可被DNS解析的域名地址

ecb6f33a6903aa87cc35f1e04282f632.png那么他文件名是怎么获取的呐?

80416eb1305b3c71db58798bf9c6d05a.png

这里可以很清楚的看见也是SYSTEM.IO里面的个体filename获取最后一个点结尾的 但是我们又不能以.aspx结尾 这里问好就起作用了,再url里面1.gif?.aspx会被默认当成1.gif解析但是传递给我们的文件ext却是.aspx结尾的

所以漏洞由此造成参考
https://www.freebuf.com/vuls/181814.html

原文来自:先知社区

原文链接: https://xz.aliyun.com/t/8488

欢迎收藏并分享朋友圈,让五邑人网络更安全

1c69c6f84e744331d2a35e0168cc107b.png

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!

推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 

weixin_39939510
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java Object和Map之间的转换(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
01-23 789
java Object和Map之间的转换(附完整源码)
java之Object转Map
拉紧我 噩运在左 我带你向右
07-07 413
/** * hql1: hql语句 * 第一版查询: 查询结果返回的是list。但是list中存放的是Object数组 */ String hql1 = "select h.name, h.address from Hotel h"; Query query = session.createQuery(hql1); List list1 = query.list();
java 反序列化复杂Map
hw1287789687的专栏
01-19 2547
java  如何反序列化复杂的map呢? 例如: 待反序列化的json字符串: {"/policyTemplate":{"modifyType":2,"keyword":"12","replacement":"4"}} 什么是复杂的map呢? 即map的key不是简单的int或者String,而是一个复杂的对象,比如Student,User等 实例: map中key对应的
Java中Object转Map类型,Map转Object类型
m0_67402914的博客
04-19 1348
前言 在使用Java编程过程中,经常会遇到获取的数据为Object类型,但只是以这种方式传输,实质还是Map类型,此时就涉及到两种类型的相互转换。 强制转换 在类型转换工程中,常见的转换方式为强制转换。如(String)map.get(key),(int)map.get(key)等。但是如果接收的类型为Map,此时强转(Map<String, Object>) obj则会报出警告。 治标不治本 很多人会使用@SuppressWarnings(“unchecked”)来解决编辑器中的警告,好看是好
java实现Object和Map互转
qq_42630678的博客
01-30 1125
【代码】java实现Object和Map互转。
UEditor_JSP.zip_ UEditor_JSP_range_ueditor_ueditor jsp_ueditor j
09-22
Ueditor编辑器划分为了三层架构。其中,核心层为开发者提供了诸如range、selection、domUtils类的底层API接口,中间的命令插件层不仅提供了大量的基础command,还允许开发者基于核心层进行command命令的开发,而面向...
本资源为ueditor富文本编辑器压缩包,里面包含ueditor.all.min.js等文件,有需要的读者可以自行下载。
03-24
总之,ueditor是一个功能强大、易用的富文本编辑器,通过`ueditor.all.min.js`这个核心文件,我们可以轻松地在网页中集成一个强大的文本编辑区域。结合JavaScript和ECMAScript,ueditor为前端开发者提供了一个高效的...
Ueditor.zip_ueditor_后台项目_百度富文本
07-13
1. **服务器端脚本**:这部分可能是用Java、PHP、Python或其他服务器端语言实现的,负责接收和处理UEditor上传的文件,比如图片、文档等,以及处理其他与编辑器相关的后台逻辑。 2. **配置文件**:这些文件用于设置...
ssm_ueditor富文本编辑器ssm框架.zip
02-24
5. 前端集成:在JSP页面中,通过JavaScript调用Ueditor初始化方法,指定编辑器的ID和配置文件路径,从而在网页上显示编辑器。 6. 数据持久化:当用户提交编辑内容时,SSM框架的MyBatis模块将负责将这些内容存储到...
vue2.x集成百度UEditor富文本编辑器的方法
10-17
在Vue2.x项目中集成百度UEditor富文本编辑器,主要涉及以下几个步骤和知识点: 1. **下载与放置UEditor源码**: 首先,你需要从官方渠道下载UEditor的源代码,并将其放入项目的`static`文件夹中。这确保了编辑器的...
java实现Object和Map之间的转换3种方式
08-30
本篇文章主要介绍了java实现Object和Map之间的转换3种方式,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Apache Commons Collections
04-05
Apache Commons Collections,commons-collections-3.2.1和commons-collections4-4.0,含jar包及源码和api文档。
org.apache.commons.collections-3.2.1.jar.zip
06-05
org.apache.commons.collections-3.2.1.jar
Java Map对象的序列化和反序列化
u014644574的博客
03-03 2636
Java Map对象的序列化和反序列化
ueditor编辑器的坑(视频空白/保存无数据/无法删除/不能插入百度动态地图/有序列表显示问题)
热门推荐
龚清林的博客
02-08 1万+
ueditor编辑器的坑(视频空白/保存无数据/无法删除/不能插入百度动态地图/有序列表显示问题)
实战纪实 | 编辑器漏洞Ueditor-任意文件上传漏洞 (老洞新谈)
最新发布
zkaqlaoniao的博客
04-12 9681
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
Ueditor、FCKeditor、Kindeditor编辑器漏洞
网安君的博客
01-27 6470
UEditor是由百度web前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点。Ueditor、FCKeditor、Kindeditor编辑器漏洞
挖洞经验|UEditor编辑器存储型XSS漏洞
MachineGunJoe666
05-29 3508
前言 UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点。UEditor存在一个XSS漏洞编辑器在定义过滤规则的时候不严和读取内容的时候的绕过导致了该漏洞,此漏洞已经上报,由于技术略菜,有分析不到位的还请多多见谅。 漏洞成因分析 漏洞文件产生在前端配置文件ueditor.config.js: 以下为纯文本粘贴为true时的过滤规则,对一些危险的标签没有做过滤,怪不得好多二次开发的。 //纯文本粘贴模式下的过滤规则 //'filterT
Object转换Map
m0_46192647的博客
06-29 3915
Object转Map
UEditor编辑器任意文件上传
08-31
UEditor编辑器存在一个高危漏洞,即在抓取远程数据源时未对文件后缀名做验证,导致任意文件写入漏洞。黑客可以利用这个漏洞,在服务器上执行任意指令。这个漏洞只影响.NET版本的UEditor,其他版本暂时不受影响。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值