记一次Ueditor上传Bypss

admin 2024年7月11日11:41:05评论11 views字数 937阅读3分7秒阅读模式

原文首发先知社区 

https://xz.aliyun.com/t/15011

前言

前一段时间和小伙伴在某内网进行渗透测试,目标不给加白,只能进行硬刚了,队友fscan一把梭发现某资产疑似存在Ueditor组件,但初步测试是存在waf和杀软的,无法进行getshell,经过一番折腾最终getshell,文笔粗劣,大佬勿喷。

测试

看这返回内容,Ueditor实锤了,采用公开的POC进行尝试,由于是纯内网无法进行出网,直接本机电脑开启Web服务,充当VPS提供Shell地址

http://xx.xx.xx.xx/Scripts/Ueditor/net/controller.ashx

<form action="http://xxx.xx.xx.xx/Scripts/Ueditor/net/controller.ashx?
action=catchimage" enctype="application/x-www-form-urlencoded" method="POST">
<p>shell addr:<input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>

记一次Ueditor上传Bypss

记一次Ueditor上传Bypss

从访问日志可以看出是 ?.a?s?p?x 后缀,因为直接采用 ?.aspx 直接被重置

记一次Ueditor上传Bypss

看到这个返回内容 很绝望,所以有了上面后缀的绕过

记一次Ueditor上传Bypss

xxx.gif?.a?s?p?x 来绕过对aspx的检测

记一次Ueditor上传Bypss

记一次Ueditor上传Bypss

本以为到这就可以完全shell,但发现这只是开始,以上测试仅仅是后缀的绕过,开始将gif换成含有shell 的文件,直接被拦截,虽然返回了路径,但实际是访问不到的

记一次Ueditor上传Bypss

记一次Ueditor上传Bypss

开始换各种免杀的webshell,都没落地,由于默认的shell内容比较长,短时间内没办法一个一个测试具体查杀那个函数,用蚁剑生成一个简短的shell,发现成功了, 但流量没绕过。

记一次Ueditor上传Bypss

记一次Ueditor上传Bypss

Bypass

经过一番折腾,采用天蝎的shell+脏数据Bypass,成功getshell (在shell的前后添加多行图片内容,不断的进行复制粘贴,如果只是添加前面或者后面,也没办法bypass)

记一次Ueditor上传Bypss

记一次Ueditor上传Bypss

记一次Ueditor上传Bypss

看看是啥杀软,有点小狠

记一次Ueditor上传Bypss

记一次Ueditor上传Bypss

整理报告,收工

原文始发于微信公众号(弱口令验证机器人):记一次Ueditor上传Bypss

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月11日11:41:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次Ueditor上传Bypsshttps://cn-sec.com/archives/2941692.html

发表评论

匿名网友 填写信息