当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112515

漏洞标题:百度Ueditor Django版任意文件上传可Shell

相关厂商:百度

漏洞作者: cnrstar

提交时间:2015-05-06 21:18

修复时间:2015-08-06 18:58

公开时间:2015-08-06 18:58

漏洞类型:远程代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-06: 细节已通知厂商并且等待厂商处理中
2015-05-08: 厂商已经确认,细节仅向厂商公开
2015-05-11: 细节向第三方安全合作伙伴开放
2015-07-02: 细节向核心白帽子及相关领域专家公开
2015-07-12: 细节向普通白帽子公开
2015-07-22: 细节向实习白帽子公开
2015-08-06: 细节向公众公开

简要描述:

百度Ueditor Django版任意文件上传,可Shell

详细说明:

貌似不是百度官方发布的,但是百度推荐使用的。
http://fex.baidu.com/ueditor/#server-django
后台处理不当,导致任意文件上传。
本地下载django版的ueditor,安装好之后访问:

QQ20150506-5@2x.png


打开上传,抓包:

QQ20150506-6@2x.png


现在我们传个py文件,可以看到是禁止的,因为是白名单限制。

QQ20150506-7@2x.png


但是修改imagePathFormat的值为要保存的文件名即可绕过上传限制

QQ20150506-8@2x.png


同时,我们可以通过../这种方式绕过目录限制。而又由于该编辑器后台会默认覆盖已经存在的文件,所以我们可以通过这种方式覆盖掉urls.py中的配置来获取一个webshell,不过这样子的话破坏性就太强了。

漏洞证明:

QQ20150506-9@2x.png


修复方案:

简单,过滤下就OK了。

版权声明:转载请注明来源 cnrstar@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-05-08 18:57

厂商回复:

Django 部分代码是由第三方开发人员编写 ,已经在 github 上面提交对应的 pull rquest

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-06 21:21 | xtnnd ( 普通白帽子 | Rank:180 漏洞数:43 )

    等到了-.-

  2. 2015-05-06 21:32 | 1c3z ( 实习白帽子 | Rank:88 漏洞数:29 | 我读书少,你可别骗我!!!)

    官网都没有看到下载链接

  3. 2015-05-06 21:38 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    mark

  4. 2015-05-06 21:42 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    mark

  5. 2015-05-06 21:46 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    django的站怎么拿shell,马克一下

  6. 2015-05-06 22:07 | xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)

    mark

  7. 2015-05-06 22:20 | Sword ( 路人 | Rank:16 漏洞数:11 | 求大牛带飞)

    mark

  8. 2015-05-06 22:25 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    django的 0_0

  9. 2015-05-06 23:38 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    经过我的测试,完全可以getshell哦

  10. 2015-05-07 07:06 | 疯兔子 ( 路人 | Rank:2 漏洞数:1 )

    mark

  11. 2015-05-07 07:38 | emeditor ( 路人 | Rank:2 漏洞数:1 | 过来乌云学习 求大神别黑)

    苦逼了…好几个地方后台编辑器用的百度的 关注下~

  12. 2015-05-07 09:18 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    mark

  13. 2015-05-07 09:20 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    shell难道是py文件?

  14. 2015-05-07 10:08 | Ricter ( 实习白帽子 | Rank:59 漏洞数:15 | 渣渣一个)

    python 除非你配置 cgi 模式,还有别的方法 getshell?替换 view 文件?

  15. 2015-05-07 11:10 | i3p ( 路人 | Rank:25 漏洞数:4 | 浮云)

    @Ricter 其实就是覆盖urls.py和views.py,因为这俩文件很固定的样子

  16. 2015-05-07 11:27 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    @i3p 被你猜到了,不过也只有这个方法了。。

  17. 2015-05-07 12:06 | izy ( 普通白帽子 | Rank:111 漏洞数:22 | http://1zy.pw/)

    也只能覆盖修改了...

  18. 2015-05-07 17:23 | Master ( 路人 | Rank:29 漏洞数:10 )

    mark

  19. 2015-05-08 09:55 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)

    评论爆出真相

  20. 2015-05-12 17:12 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    求真相

  21. 2015-05-13 13:18 | CASS ( 路人 | Rank:2 漏洞数:4 | insafe ---cass)

    我测试发现一个。不知道是不是楼主说的这个版本,上传图片哪里可以抓包修改。getshell.

  22. 2015-05-13 17:40 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    @CASS 什么版本 我遇到好多这个编辑器了

  23. 2015-05-14 09:12 | kevinchowsec ( 路人 | Rank:12 漏洞数:5 | 周凯文,信息安全爱好者。)

    关注!!!