eWebeditor 客户端控件任意文件读取漏洞

admin
admin
admin
138876
文章
114
评论
2020年9月24日20:18:52评论559 views字数 2226阅读7分25秒阅读模式

漏洞分析

首先说一下这个“批量上传”功能。随便找一个使用了 ewebeditor 的网站

如果已安装并且事先启动过控件进程的话,就会展示出完整功能。

eWebeditor 客户端控件任意文件读取漏洞

如未安装,则会弹出下载安装界面。

eWebeditor 客户端控件任意文件读取漏洞

安装成功再次访问,则会提示让你确定是否启动控件应用进程。

eWebeditor 客户端控件任意文件读取漏洞

确定后就会在操作系统中启动安装好的 ewebeditor 控件服务,并监听web服务端口(https:20036/http:20035)

eWebeditor 客户端控件任意文件读取漏洞

此时 ewebeditor 的批量上传功能就已经可以使用了。

根据我从 js 源码和黑盒调试后分析出批量上传主要经过以下几个步骤。


1)向 http://127.0.0.1:20035 端口发起 ajax 请求,判断端口是否开放,开放则说明系统已安装并运行了ewebeditor控件。如未开放则可能未运行控件并访问ewebeditorls:port=20035提示浏览器运行控件。另一种是未安装,会提示需要下载并安装。

 2)20035 正常可访问后会再向这个端口发送几个 http 请求,主要有“初始化”、“弹出文件选择框”、“指定客户端文件绝对路径”、“上传文件”、“获取上传状态”、“获取远程服务器文件路径”这几个请求,其中“指定文件绝对路径”这一步骤中的参数是可以随意指定的,参考下图。


eWebeditor 客户端控件任意文件读取漏洞

 3)网页向 20035 端口发送的请求其中有一个“文件上传”的请求,

Act=mfuupload&Param1=&V=8300&Lang=zh-cn&Charset=utf-8&SendUrl=http%3A%2F%2Fwww.ewebeditor.net%2Fewebeditor%2Fasp%2Fupload.asp%3Fstyle%3Dstandard600%26cusdir%3D%26sparams%3D%26skey%3D%26h%3Dwww.ewebeditor.net&LocalSize=10240&LocalExt=gif%7Cjpg%7Cbmp%7Cwmz%7Cpng&Cookie=ASPSESSIONIDCATTSCAC%3DGMHCPKJCDCMBNLONIPOFJGNE%3B%20IPCity%3D%25E6%259C%25AA%25E7%259F%25A5%3B%20ASPSESSIONIDACQQTACD%3DOIOJHOBDBIIEGINJGFILLPCJ&CertIssuer=&CertSubject=&UseProxy=1&UserAgent=Mozilla%2F5.0%20(Windows%20NT%2010.0%3B%20Win64%3B%20x64%3B%20rv%3A67.0)%20Gecko%2F20100101%20Firefox%2F67.0

这里会把在前面已选择的文件列表一一判断是否符合初始化时给定的文件扩展名,然后再向 SendUrl 参数的地址发起以下两个请求。

3.1) 判断license是否合法

由于功能是商业产品的功能,它在上传之前先判断了一下这个网站有没有购买license。判断方法就是访问 /ewebeditor/jsp/i.jsp?action=license&r=随机数&h=域名 然后再进行一系列计算。所以如果要完整的利用漏洞则需要解决这个问题,简单的解决方案有两种,这里我拿了一个已购买的license的源码,然后修改HOSTS域名模拟方案b。


    a) 黑掉一个已经购买 license 的网站

    b) 花几百块买一个 license

    

3.2) 向远程服务器发起上传数据包 当license校验通过后会把文件列表中的文件一一去构造上传数据包,请求至 /ewebeditor/jsp/upload.jsp




总结一下,如果要完成客户端任意文件读取的话,只需要自己搭建一套已购买license的ewebeditor,再修改一下/ewebeditor/jsp/upload.jsp直接输出上传文件请求里的文件内容,最后构造一下恶意页面,把从初始化到上传的ajax请求都写进去。


但这样还是只能上传被允许的扩展名文件,如c:/windows/system32/drivers/etc/hosts这种没有扩展名的文件,控件端就不会发起上传请求,经过测试发现控件端存在着 00 截断漏洞,也就是说我在“指定文件绝对路径”的时候,给文件名后面加一个 %00 再加一个被允许的扩展名就可以欺骗控件端,以达到可以发起文件上传请求的目的。


当用户系统本身已经启动了控件就会自动把文件上传到 test.b1ue.cn,如果没有启动就会自动弹出启动询问框然后再上传。


此外还要修改ewebeditor服务器的一个文件“/ewebeditor/jsp/upload.jsp”

eWebeditor 客户端控件任意文件读取漏洞

我直接删除了原有代码,然后把上传请求里的文件保存到 upload 目录然后再打印在控制台,方便观察。


POC 有点长,请前往博客获取。

漏洞利用

根据分析部分,我需要先搭建一个已购买license的ewebeditor服务器,域名是 test.b1ue.cn,并且修改 upload.jsp。

然后访问我构造的页面。

eWebeditor 客户端控件任意文件读取漏洞


访问我的页面后自动向控件端 127.0.0.1:20035 发送了上传“c:/windows/system32/drivers/etc/hosts”文件的请求。


然后控件端又把文件上传到“sendUrl”参数里的地址,也就是我搭建的ewebeditor服务器。


从我的Tomcat控制台可以看到,上传过来的文件内容被打印了出来。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月24日20:18:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   eWebeditor 客户端控件任意文件读取漏洞https://cn-sec.com/archives/141313.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息