2023年7月13日发(作者：)

WEB漏洞攻防-⽂件上传漏洞-⽂件上传编辑类应⽤场景-Ueditor任意⽂件上传漏洞思考:在实际应⽤场景中，常规类的⽂件上传、CMS类的⽂件上传、编辑器的上传或者CTF⽐赛中的⽂件上传应⽤场景都有不同的差异;总结下来就是，⽂件上传不管是发现还是利⽤上都会根据产⽣层⾯⽽不同，常规类⽆资料的情况下采⽤常规思路测试，有资料的情况下直接参考资料进⾏即可。⽂件上传漏洞有⼀部分是⽹站程序⾃⾝写出来的，还有⼀部分是编辑器⾃⾝带来的。现在我们就看⼀下 Ueditor 编辑器 [百度开发的⼀款编辑器，该编辑器曾爆出过上传漏洞]漏洞描述Ueditor是百度开发的⼀个⽹站编辑器，⽬前已经不对其进⾏后续开发和更新，该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor的漏洞的影响，.net存在任意⽂件上传，绕过⽂件格式的限制，在获取远程资源的时候并没有对远程⽂件的格式进⾏严格的过滤与判断。影响范围该漏洞影响UEditor的.Net版本，其它语⾔版本暂时未受影响。漏洞原理漏洞的成因是在获取图⽚资源时仅检查了ContentType，导致可以绕过达到任意⽂件上传。Crawler⽅法对source[]的检查仅仅是⼀个ContentType，这个真的很佛系了。----------------------------------------------------------------------if (f("image") == -1){State = "Url is not an image";return this;}我们可以利⽤post⽅法直接上传⽂件到⽬标⽹站

shell addr:

将上述的前端表单代码直接复制到本地，保存为 “html” 格式⽂件，将上⽂的 http 地址填写你要测试的⽹站地址，action后填写路径为实际中遇到的路径，不要太死板，如果太死板不按⽹站的实际路径来就会出现这种路径找不到的错误。这⾥我们还需要⼀个服务器，上传准备的图⽚马，其中【shell addr】后填写的就是你服务器上⽊马的地址加上后缀（?.aspx）。成功返回shell同样的道理，该漏洞的存在，本⾝和⽹站容器没有任何关系，因为这是编辑器⾃⾝带来的漏洞。在我们访问⼀个 WEB ⽹站的时候，如果发现前台页⾯有类似的编辑器的界⾯，就可以针对该编辑器搜索相关的漏洞，如果存在可以直接利⽤的漏洞的话，就可以直接利⽤前⼈的思路进⾏渗透，⽽不⽤再像常规的⽂件上传那样⼀步⼀步的去检测利⽤点。[其与上⽂的CMS的⽂件上传漏洞利⽤还是有所区别的，⼀个是第三⽅插件，⼀个是⽹站。⼀个产⽣在编辑器⾥，⼀个产⽣在⽹站源码⾥。⼀个是插件的漏洞，⼀个是⽹站的漏洞。]