admin管理员组文章数量:1614997
作者: 浮萍@猎户安全实验室
公众号:[猎户安全实验室](https://mp.weixin.qq/s/OPbyYQNWiN2dy_BHhqd9eg "猎户安全实验室")
前些时间测试的时候遇到了一个系统采用了UEditor编辑器,版本为1.4.3。已知该编辑器v1.4.3版本存在SSRF漏洞,虽然是Bool型的SSRF,除了可以进行内网探测外,也可以根据web应用指纹信息,之后进行进一步的测试。
#### 0x01 前言
查看官方的更新日志可以发现UEditor编辑器在版本1.4.3.1修复了SSRF漏洞。
![](https://images.seebug/content/images/2018/05/77f8fc17-df19-4c05-aa17-f1e53c60b0f5.jpg-w331s)
那版本1.4.3应该存在SSRF漏洞,本着能搜索就不动手的原则搜了一下,发现wooyun-2015-0133125中提到过这类的漏洞。但我这里是jsp版本的,里面提到jsp版本不一样,只好去分析一下漏洞产生的位置。
#### 0x02 漏洞分析
那我们需要查看版本1.4.3与1.4.3.1有什么不同,从而找到存在问题的地方。该项目的代码托管在Github上,地址为:。
查看版本1.4.3.1下的jsp代码.
![](https://images.seebug/content/images/2018/05/de6cf9be-bab5-4576-9b10-760935b37534.jpg-w331s)
可以发现在该版本有一次commit,commitId 为`a1820147cfc3fbe2960a7d99f8dfbe338c02f0b6`。根据字面意思应该是增加了修复SSRF的代码。
下载下来后对比一下v1.4.3.1和v1.4.3代码有什么不同(这里仅对比jsp下的代码)。
![](https://images.seebug/content/images/2018/05/eb0bfa59-2add-4e12-b957-5869f503fd4f.jpg-w331s)
发现在v1.4.3.1中修改了jsp/src/com/baidu/ueditor/hunter/ImageHunter.java的validHost方法。
```
privatebooleanvalidHost ( String hostname) {
try {
InetAddressip = InetAddress.getByName(hostname);//根据主机名获取ip
if (ip.isSiteLocalAddress()) {//是否为地区本地地址
returnfalse;
}
} catch (UnknownHostExceptione) {
returnfalse;
}
return !filters.contains( hostname );
}
```
新增了对ip地址是否为内部地址的判断。而在v1.4.3中仅仅是做了是否为过滤的ip地址。
```
privatebooleanvalidHost ( String hostname) {
return !filters.contains( hostname );
}
```
isSiteLocalAddress方法作用是当IP地址是地区本地地址(SiteLocalAddress)时返回true,否则返回false。
IPv4的地址本地地址分为三段:10.0.0.0~ 10.255.255.255、172.16.0.0 ~ 172.31.255.255、192.168.0.0 ~192.168.255.255。
搜索后发现在captureRemoteData中调用了
版权声明:本文标题:ueidtor安全漏洞_UEditor SSRF漏洞(JSP版本)分析与复现 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1728694657a1169941.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论