UEditor于近日被曝出高危漏洞,包括目前官方UEditor 1.4.3.3 最新版本,都受到此漏洞的影響,ueditor是百度官方技術團隊開發的一套前端編輯器,可以上傳圖檔,寫文字,支援自定義的html編寫,移動端以及電腦端都可以無縫對接,自适應頁面,圖檔也可以自動适應目前的上傳路徑與頁面比例大小,一些視訊檔案的上傳,開源,高效,穩定,安全,一直深受站長們的喜歡。
百度的UEditor文本編輯器,近幾年很少被曝出漏洞,事情沒有絕對的,總會有漏洞,這次被曝出的漏洞是.net版本的,其他的php,jsp,asp版本不受此UEditor的漏洞的影響,.net存在任意檔案上傳,繞過檔案格式的限制,在擷取遠端資源的時候并沒有對遠端檔案的格式進行嚴格的過濾與判斷,攻擊者可以上傳任意檔案包括腳本執行檔案,包括aspx腳本木馬,asp腳本木馬,還可以利用該UEditor漏洞對伺服器進行攻擊,執行系統命名破壞伺服器,由于漏洞危害嚴重性較高,受害網站較多,對于該漏洞的分析與複現如下:
我們下載下傳官方UEditor 1.4.3.3版本,選擇.net語言的,看最後更新日期是2016-05-26,我們找台伺服器搭建一下aspx環境,安裝iis7.5,我們在上傳檔案的時候構造一個惡意的html檔案,有利于我們送出資料過去:
然後我們打開html看到,需要一個遠端連結的檔案,這裡我們可以找一個圖檔腳本木馬,最好是一句話圖檔小馬,把該小馬檔案上傳到我們的網站伺服器裡,把檔案名改為anquan.jpg?.aspx,然後複制網站連結到構造的html中去,如下圖:
點選submit,直接上傳成功,并傳回我們的aspx腳本木馬路徑位址,我們打開就可以使用了。
UEdito漏洞分析
那麼UEdito漏洞到底是如何産生的呢?最主要的還是利用了IIS的目錄解壓功能,在解壓的同時會去通路控制器檔案,包括controller.aspx檔案,當上傳到網站裡的時候,會自動解壓并調用一些特殊應用的目錄位址,有些目錄都可以被遠端的調用,我們看下面的代碼:
那麼該如何對UEdito漏洞進行網站漏洞修複呢?
1.目前臨時的漏洞修複是建議,把檔案上傳目錄設定無腳本執行權限,uploadvideo、uploadimage、catchimage、uploadscrawl、uploadfile、等等目錄都設定上無腳本權限。
2.在百度UEditor官方沒有出更新檔前,設定圖檔目錄為隻讀,禁止寫入。
3.修改程式的源代碼,對crawlerhandler源檔案進行檔案上傳格式的嚴格過濾與判斷。