UEditor编辑器.NET版本任意文件上传漏洞分析与防御<\/h1>

漏洞概述<\/h2>
UEditor是一款所见即所得的开源富文本编辑器，由百度开发，具有轻量、可定制、用户体验优秀等特点，被广泛用于各种WEB应用程序。2018年曝出的高危漏洞影响UEditor的.NET版本，其它版本暂时不受影响。<\/p>
漏洞类型<\/strong>：远程代码执行(RCE)
漏洞成因<\/strong>：在抓取远程数据源时未对文件后缀名做验证导致任意文件写入
危险等级<\/strong>：高危
影响版本<\/strong>：1.4.3.3及之前版本，1.5.0开发版更易触发<\/p>

漏洞利用细节<\/h2>
利用条件<\/h3>

目标系统使用UEditor的.NET版本<\/li>
存在controller.ashx<\/code>文件并可访问<\/li>
能够向catchimage<\/code>动作发送POST请求<\/li> <\/ol> 利用方法<\/h3> 构造一个HTML表单，向目标服务器的controller.ashx<\/code>发送POST请求：<\/li> <\/ol> <form<\/span> action<\/span>=<\/span>"http:\/\/target.com\/controller.ashx?action=catchimage"<\/span> <\/span><\/span> enctype<\/span>=<\/span>"application\/x-www-form-urlencoded"<\/span> method<\/span>=<\/span>"POST"<\/span>> <\/span><\/span> <p<\/span>>shell addr:<input<\/span> type<\/span>=<\/span>"text"<\/span> name<\/span>=<\/span>"source[]"<\/span> \/><\/p<\/span>> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"submit"<\/span> value<\/span>=<\/span>"Submit"<\/span> \/> <\/span><\/span><\/form<\/span>> <\/span><\/span><\/code><\/pre> 准备一个图片木马，远程shell地址需要指定扩展名为1.gif?.aspx<\/code>格式<\/p> <\/li> 提交后，服务器会将远程文件保存为.aspx<\/code>文件，从而实现任意文件上传<\/p> <\/li> <\/ol> 技术原理分析<\/h2> 漏洞触发流程<\/h3> 请求进入controller.ashx<\/code>控制器，调用catchimage<\/code>动作<\/li> 实例化CrawlerHandler<\/code>类处理请求<\/li> 获取source[]<\/code>数组参数<\/li> 通过lambda表达式调用Crawler<\/code>类的Fetch<\/code>方法： Crawlers = Sources.Select(x=> new<\/span> Crawler(x, Server).Fetch()).ToArray(); <\/span><\/span><\/code><\/pre><\/li> <\/ol> 关键漏洞点<\/h3> 域名\/IP验证缺陷<\/strong>：<\/p> 1.4.3.3版本通过IsExternalIPAddress<\/code>方法验证是否为可解析域名<\/li> 1.5.0开发版删除了此验证，使任意IP\/域名都可触发漏洞<\/li> 在1.4.3.3中，攻击者只需提供正常域名即可绕过验证<\/li> <\/ul> <\/li> ContentType验证缺陷<\/strong>：<\/p> 仅检查文件头信息，类似PHP文件上传的验证方式<\/li> 可通过构造图片木马或假GIF文件(gif89<\/code>)绕过<\/li> <\/ul> <\/li> 文件扩展名未过滤<\/strong>：<\/p> 保存文件时未验证扩展名<\/li> 攻击者可利用1.gif?.aspx<\/code>形式绕过可能的扩展名检查<\/li> <\/ul> <\/li> 文件保存过程<\/strong>：<\/p> 根据配置文件创建目录结构<\/li> 直接将远程文件内容写入服务器，无后缀名过滤<\/li> <\/ul> <\/li> <\/ol> 影响范围<\/h2> UEditor .NET版本1.4.3.3及之前版本<\/li> 特别地，1.5.0开发版更易被利用<\/li> <\/ul> 防御措施<\/h2> 临时缓解方案<\/h3> 修改CrawlerHandler.cs<\/code>文件：<\/p> 增加对文件扩展名的严格验证<\/li> 恢复对IP\/域名的严格验证<\/li> <\/ul> <\/li> 网络层防御：<\/p> IPS等设备添加相应特征检测<\/li> 监控对controller.ashx?action=catchimage<\/code>的异常请求<\/li> <\/ul> <\/li> <\/ol> 长期解决方案<\/h3> 升级到官方修复版本<\/p> <\/li> 对UEditor进行安全加固：<\/p> 限制可访问的远程地址白名单<\/li> 实现严格的文件类型和内容验证<\/li> 禁用不必要的处理器功能<\/li> <\/ul> <\/li> 服务器配置：<\/p> 限制UEditor目录的执行权限<\/li> 对上传文件进行重命名处理<\/li> 设置文件上传目录不可执行脚本<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 该漏洞利用UEditor.NET版本在远程抓取功能中的多处安全缺陷，最终导致攻击者可在服务器上上传任意文件并执行代码。由于UEditor广泛应用于各类Web系统，该漏洞危害性较大。管理员应及时检查系统使用的UEditor版本，并采取相应的防护措施。<\/p>