0x00 前言
復現學習
0x01 漏洞復現
環境搭建參考這篇blog,主要是在ueditor主目錄創建WEB-INF/lib,並將jar包移到該lib下,啟動tomcat服務器。
請求內網服務器地址
0x02 漏洞原理
該ssrf屬於過濾規則不嚴謹導致可以任意請求內網地址。
先看看controller.jsp,請求進來時,調用 ActionEnter.exec進行執行
由於callback參數為空所以直接調用ActionEnter的invoke方法
在invoke方法中調用ImageHunter的capture方法進行遠程獲取圖片
通過captureRemoteData獲取遠程圖片
最后校驗地址是否為合法地址,若通過校驗則請求該地址
該校驗的邏輯如下
filters為列表
該列表從conf中取值,其中conf是從configMangaer獲取的
可以看到filter從this.getArray函數中獲取到配置
而其中this.getArray中的配置文件是從jsonConfig中取值
查看config文件config.json可以看到黑名單主機地址為如下
所以很多其他內網地址仍然可以被攻擊者通過該接口訪問