Ueditor Rce漏洞復現&分析
阿新 • • 發佈:2021-12-13
0x00 前言
復現學習
0x01 漏洞復現
環境搭建參考這篇blog,主要是在ueditor主目錄建立WEB-INF/lib,並將jar包移到該lib下,啟動tomcat伺服器。
請求內網伺服器地址
0x02 漏洞原理
該ssrf屬於過濾規則不嚴謹導致可以任意請求內網地址。
先看看controller.jsp,請求進來時,呼叫 ActionEnter.exec進行執行
由於callback引數為空所以直接呼叫ActionEnter的invoke方法
在invoke方法中呼叫ImageHunter的capture方法進行遠端獲取圖片
通過captureRemoteData獲取遠端圖片
最後校驗地址是否為合法地址,若通過校驗則請求該地址
該校驗的邏輯如下
filters為列表
該列表從conf中取值,其中conf是從configMangaer獲取的
可以看到filter從this.getArray函式中獲取到配置
而其中this.getArray中的配置檔案是從jsonConfig中取值
檢視config檔案config.json可以看到黑名單主機地址為如下
所以很多其他內網地址仍然可以被攻擊者通過該介面訪問