大家好,我是老李。很多開發者在做系統的時候都會用到富文本編輯器,目前市面上好用的開源富文本編輯器已經不多了。其中Ueditor用的非常多(作者可能已經放棄為愛發電了,已經好久沒有再做更新了),是以今天老李給大家分享一個基于Ueditor的APT攻擊事件。
七一重保期間,某合作公司向我司緊急求救,APT系統出現攻擊告警,現場從業人員發現有ip針對他們系統進行Ueditor 檔案上傳漏洞攻擊,并成功上傳木馬檔案。于是我隻能又又又背上電腦出發了(苦逼的網安人)。
一、處置
1、提前在電話中與客戶溝通情況,建議能否先将伺服器的外部通信關閉,避免再出現一些其它問題,客戶同意了我的建議,簡單粗暴的将伺服器關閉了。
2、到現場後,檢視APT系統,發現了攻擊告警。
上傳木馬成功(這waf,關鍵時刻咋不起作用呢)。
3、将伺服器重新啟動,先将外網通道關閉,然後進入以下路徑,檢視問題檔案。
發現就是普通的冰蠍aspx馬子,懸着的心也放下一半。
4、對于檔案清單中的一些有問題的檔案,都先儲存在了本地,然後将伺服器中的檔案進行了删除處理,在其中發現一些關于黃賭毒的黑頁。
5、同時為了保險起見,立即對網站進行了後門掃描。
6、對攻擊者IP和上傳檔案的域名進行分析,在威脅情報平台上都顯示為惡意。
發現都是香港的IP,也沒有進行備案。
5、通路攻擊者的木馬位址,将檔案下載下傳下來
發現隻是一個gif檔案和冰蠍aspx馬子合成的圖檔馬。
6、放進雲沙箱運作也會報毒。
二、成因
ueditor的官方網站已經停止通路了,但是我們可以在github上下載下傳源碼包:
1、我們首先來看net/controller.ashx 檔案,我們可以看到第14行接收了一個名為action參數。
2、然後action會通過switch case去判斷,當action等于catchimage(遠端檔案抓取)時,執行以下代碼
我們去CrawlerHandler中檢視,我們發現當Sources為空或長度為零時,傳回"參數錯誤:沒有指定抓取源"
是以我們測試漏洞是否存在的時候,會通路Ueditor/net/controller.ashx?action=catchimage,檢視傳回包是否為"參數錯誤:沒有指定抓取源"
3、當source的值不等于空的時候,就執行下面代碼
4、我們定位到Crawler方法處,65行是建立一個請求,将響應内容指派給response
5、觀察下面的這行代碼,它是從響應裡的ContentType去比對是否有image。
6、如果是image,進入下面一行代碼,會将檔案儲存在伺服器中,是以隻要自定義下ContentType:image/jpeg,就可以抓取任意類型的檔案了,就造成了任意檔案上傳漏洞
tips:
可能有些朋友會有疑惑,為什麼常見的利用方式是上傳xxx.gif?.aspx,因為檔案的後辍名是通過截斷最後一個 . 來擷取的(我們通過檢視GetFileName()的官方文檔發現,該方法是通過截取url中最後一個.來擷取檔案名的),url裡面xxx.gif?.aspx會被預設當成xxx.gif解析但是傳遞給我們的檔案卻是.aspx結尾的檔案。
三、複現
1、首先通路Ueditor/net/controller.ashx?action=catchimag,發現傳回"參數錯誤:沒有指定抓取源",證明存在檔案上傳漏洞。
2、先上傳一個html頁面試一下,可以看到上傳成功。
3、再傳一個圖檔馬試一下,發現也上傳成功。
四、修複
1、由于系統開發商趕來還需要一段時間,是以先從軟體層面将漏洞修補一下。配置防火牆政策,禁止外網ip通路admin目錄(漏洞存在于admin目錄下)
2、禁止外網IP通路f_load目錄(上傳後的檔案存在于f_load目錄)。
3、當使用者通路admin/Ueditor/net/controller.ashx?action=catchimage時,跳轉到admin/Logout.aspx頁面
4、當開發人員到達現場後,立即讓他們将上傳成功後的回顯關閉了。
五、總結
當遇到類似的應急響應事件後,可以按照以下幾個步驟進行處理:
- 1、先對需要處理的事件現場情況進行詳細的了解,與客戶商量先将受害伺服器進行斷網關機處理,如果有主機安全管理裝置,先對所有主機資産進行病毒清除。
- 2、先将木馬檔案、可疑檔案儲存本地,然後将伺服器上的可疑檔案進行清除。
- 3、分析木馬檔案是哪種類型的木馬,會造成什麼危害,再做出下一步處置。
- 4、分析漏洞成因,複現漏洞。
- 5、先使用waf、防火牆等裝置緊急修複漏洞,再等研發人員來徹底修複漏洞。
來源:奇安信攻防社群