Ueditor文本编辑器文件上传漏洞Exp可GetShell
2023-4-25 14:47:59 Author: Web安全工具库(查看原文) 阅读量:124 收藏

===================================

免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。

0x01 工具介绍

ueditor文本编辑器文件上传漏洞,可以getshell。限定版本为net4.0。

0x02 安装与使用

1、检测,完整domo页面

2、检测poc,出现 '参数错误:没有指定抓取源' 可能存在漏洞

 http://xxxxx.com:xx/controller.ashx?action=catchimage

3、Getshell 利用

python .\ueditor_fileupload_getshell.py -f ./url.txt

0x03 项目链接下载

1、通过阅读原文,到项目地址下载
2、公众号后台回复:工具666,获取网盘下载链接
3、关注下方公众号回复:送书666,获取抽奖码
4、每日抽奖送书规则

· 今 日 送 书 ·

本书系统地讲解了软件漏洞分析与利用所需的各类工具、理论技术和实战方法,主要涉及Windows和Linux操作系统平台,选择经典漏洞作为实践项目,项目内容由浅入深、由易到难,比较容易操作和实现,旨在通过实践提高读者对软件漏洞的分析和利用能力及针对各种破解手段的防范能力。全书内容分为12章,每章中的实践项目包括项目目的、项目环境及工具、知识要点、项目实现和步骤及思考题等部分。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247508493&idx=2&sn=fabee0affa3ad75b2cc94a7a30a979fc&chksm=ebb54d0edcc2c418b5e6c88c8ebd140c1d3a1d46187b2af3af959bbdd1fc6d01c3675666c208#rd
如有侵权请联系:admin#unsafe.sh