Ueditor 1.4.3 服务器请求伪造分析

偶然挖到的一个ssrf漏洞

Ueditor 1.4.3版本服务器请求伪造漏洞

漏洞描述

UEditor是由百度web前端研发部开发所见即所得富文本web编辑器，具有轻量，可定制，注重用户体验等特点，开源基于MIT协议，允许自由使用和修改代码。
在使用抓取图片的功能时，造成SSRF漏洞。
攻击者可利用该漏洞可进行内网探测和部分应用识别，从而进行进一步攻击。

影响范围

Ueditor <= 1.4.3

进入编辑器

http://xxxxx/ueditor

漏洞POC

ueditor/php/controller.php?action=catchimage&source[]=https://xxxxx/xxxx.php

漏洞分析

主要跟踪这段代码: /php/Uploader.class.php:173

private function saveRemote()
{
$imgUrl = htmlspecialchars($this->fileField);
$imgUrl = str_replace("&amp;", "&", $imgUrl);

//http开头验证
if (strpos($imgUrl, "http") !== 0) {
    $this->stateInfo = $this->getStateInfo("ERROR_HTTP_LINK");
    return;
}

preg_match('/(^https*:\/\/[^:\/]+)/', $imgUrl, $matches);
$host_with_protocol = count($matches) > 1 ? $matches[1] : '';

// 判断是否是合法 url
if (!filter_var($host_with_protocol, FILTER_VALIDATE_URL)) {
    $this->stateInfo = $this->getStateInfo("INVALID_URL");
    return;
}

preg_match('/^https*:\/\/(.+)/', $host_with_protocol, $matches);
$host_without_protocol = count($matches) > 1 ? $matches[1] : '';

// 此时提取出来的可能是 ip 也有可能是域名，先获取 ip
$ip = gethostbyname($host_without_protocol);
// 判断是否是私有 ip
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE)) {
    $this->stateInfo = $this->getStateInfo("INVALID_IP");
    return;
}

//获取请求头并检测死链
$heads = get_headers($imgUrl, 1);
if (!(stristr($heads[0], "200") && stristr($heads[0], "OK"))) {
    $this->stateInfo = $this->getStateInfo("ERROR_DEAD_LINK");
    return;
}
//格式验证(扩展名验证和Content-Type验证)
$fileType = strtolower(strrchr($imgUrl, '.'));
if (!in_array($fileType, $this->config['allowFiles']) || !isset($heads['Content-Type']) || !stristr($heads['Content-Type'], "image")) {
    $this->stateInfo = $this->getStateInfo("ERROR_HTTP_CONTENTTYPE");
    return;
}

//打开输出缓冲区并获取远程图片
ob_start();
$context = stream_context_create(
    array('http' => array(
        'follow_location' => false // don't follow redirects
    ))
);
readfile($imgUrl, false, $context);
$img = ob_get_contents();
ob_end_clean();
...省略   
}

整个流程大概如下:

1、判断是否是合法http的url地址
2、利用gethostbyname来解析判断是否是内网IP
3、利用get_headers进行http请求，来判断请求的图片资源是否正确，比如状态码为200、响应content-type是否为image (SSRF漏洞触发处)
4、最终用readfile来进行最后的资源获取，来获取图片内容

所以在利用DNS重绑定时候，我们可以这样做

第一次请求 -> 外网ip
第二次请求 -> 内网ip
第三次请求 -> 内网ip

DNS重绑定利用过程

参考 https://www.cnblogs.com/abubu/p/11794544.html

__EOF__

本文作者：LinkPoc
本文链接：https://www.cnblogs.com/Y0uhe/p/15369150.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！

posted @ 2021-09-30 18:04 LinkPoc 阅读(2508) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

公告

Ueditor 1.4.3 服务器请求伪造分析

发表于 2021-09-30 18:04阅读：2508评论：0推荐：0

网络安全 nday

关注

跳至底部

昵称： LinkPoc
园龄： 4年1个月
粉丝： 19
关注： 9

+加关注

YouHe

Ueditor 1.4.3 服务器请求伪造分析

偶然挖到的一个ssrf漏洞

Ueditor 1.4.3版本服务器请求伪造漏洞

漏洞描述

影响范围

进入编辑器

漏洞POC

漏洞分析

主要跟踪这段代码: /php/Uploader.class.php:173

整个流程大概如下:

所以在利用DNS重绑定时候，我们可以这样做

DNS重绑定利用过程

公告

LinkPoc

Ueditor 1.4.3 服务器请求伪造分析

搜索

常用链接

最新随笔

随笔分类 (162)

随笔档案 (66)

阅读排行榜

评论排行榜

推荐排行榜

最新评论

YouHe

Ueditor 1.4.3 服务器请求伪造分析

偶然挖到的一个ssrf漏洞

Ueditor 1.4.3版本 服务器请求伪造漏洞

漏洞描述

影响范围

进入编辑器

漏洞POC

漏洞分析

主要跟踪这段代码: /php/Uploader.class.php:173

整个流程大概如下:

所以在利用DNS重绑定时候，我们可以这样做

DNS重绑定利用过程

公告

LinkPoc

Ueditor 1.4.3 服务器请求伪造分析

搜索

常用链接

最新随笔

随笔分类 (162)

随笔档案 (66)

阅读排行榜

评论排行榜

推荐排行榜

最新评论

Ueditor 1.4.3版本服务器请求伪造漏洞