第一次dns请求是调用了gethostbyname函数 -> 外网ip 第二次dns请求是调用了get_headers函数 -> 内网ip 其中返回内容state为链接contentType不正确,表示请求成功了! 如果返回为非法 IP则表示DNS重绑定时候第一次是为内网IP,这时需要调整一下绑定顺序. 但是会剩一个问题就是: 能不能获取到SSRF请求后的回显内容! 第...
在使用抓取图片的功能时,造成SSRF漏洞。 攻击者可利用该漏洞可进行内网探测和部分应用识别,从而进行进一步攻击。 影响范围 Ueditor <= 1.4.3 进入编辑器 http://xxxxx/ueditor 漏洞POC ueditor/php/controller.php?action=catchimage&source[]=https://xxxxx/xxxx.php 漏洞分析 主要跟踪这段代码: /php/Uploader.cla...
shell路径由CONFIG[imagePathFormat]=ueditor/php/upload/fuck决定[http://localhost/ueditor/php/upload/fuck.php 四、SSRF漏洞 该漏洞存在于1.4.3的jsp版本中。但1.4.3.1版本已经修复了该漏洞。 SSRF 已知该版本ueditor的ssrf触发点: /jsp/controller.jsp?action=catchimage&source[]= /jsp/getRemoteImage.jsp?up...
例如,攻击者可以构造一个指向内网 Redis 服务器的 URL,并尝试利用 SSRF 漏洞执行 Redis 命令: text http://your-ueditor-server/ueditor/php/controller.php?action=catchimage&source[]=redis://internal-redis-server:6379/somekey 当然,由于 Ueditor 的代码会对 URL 进行一定的验证和解析,攻击者需要绕过...
shell路径由CONFIG[imagePathFormat]=ueditor/php/upload/fuck决定[http://localhost/ueditor/php/upload/fuck.php 四、SSRF漏洞 该漏洞存在于1.4.3的jsp版本中。但1.4.3.1版本已经修复了该漏洞。 SSRF 已知该版本ueditor的ssrf触发点: /jsp/controller.jsp?action=catchimage&source[]= ...
/** * 是否允许内网采集 * 如果为 false 则远程图片获取不获取内网图片,防止 SSRF。 * 默认为 false * @var bool */ public $allowIntranet = false;/** * 默认 action * @var string @@ -106,7 +116,7 @@ public function init() ]; $this->config = $this->config + $default + $CONFIG;...