0x00 前言

復現學習

0x01 漏洞復現

環境搭建參考這篇blog，主要是在ueditor主目錄建立WEB-INF/lib，並將jar包移到該lib下，啟動tomcat伺服器。

請求內網伺服器地址

0x02 漏洞原理

該ssrf屬於過濾規則不嚴謹導致可以任意請求內網地址。

先看看controller.jsp，請求進來時，呼叫 ActionEnter.exec進行執行

由於callback引數為空所以直接呼叫ActionEnter的invoke方法

在invoke方法中呼叫ImageHunter的capture方法進行遠端獲取圖片

通過captureRemoteData獲取遠端圖片

最後校驗地址是否為合法地址，若通過校驗則請求該地址

該校驗的邏輯如下

filters為列表

該列表從conf中取值，其中conf是從configMangaer獲取的

可以看到filter從this.getArray函式中獲取到配置

而其中this.getArray中的配置檔案是從jsonConfig中取值

檢視config檔案config.json可以看到黑名單主機地址為如下

所以很多其他內網地址仍然可以被攻擊者通過該介面訪問