0x01 前言

七一重保期间，某合作公司向我司紧急求救，APT系统出现攻击告警，现场工作人员发现有ip针对他们系统进行Ueditor 文件上传漏洞攻击，并成功上传木马文件。于是我只能又又又背上电脑出发了（苦逼的网安人）。

1、提前在电话中与客户沟通情况，建议能否先将服务器的外部通信关闭，避免再出现一些其它问题，客户同意了我的建议，简单粗暴的将服务器关闭了。

2、到现场后，查看APT系统，发现了攻击告警。

上传木马成功（这waf，关键时刻咋不起作用呢）。

3、将服务器重新启动，先将外网通道关闭，然后进入以下路径，查看问题文件。

发现就是普通的冰蝎aspx马子，悬着的心也放下一半。

4、对于文件列表中的一些有问题的文件，都先保存在了本地，然后将服务器中的文件进行了删除处理，在其中发现一些关于黄赌毒的黑页。

5、同时为了保险起见，立即对网站进行了后门扫描。

6、对攻击者IP和上传文件的域名进行分析，在威胁情报平台上都显示为恶意。

发现都是香港的IP，也没有进行备案。

5、访问攻击者的木马地址，将文件下载下来

发现只是一个gif文件和冰蝎aspx马子合成的图片马。

6、放进云沙箱运行也会报毒。

0x03 成因

ueditor的官方网站已经停止访问了，但是我们可以在github上下载源码包：https://github.com/fex-team/ueditor/releases/tag/v1.4.3.3

1、首先访问Ueditor/net/controller.ashx?action=catchimag，发现返回"参数错误：没有指定抓取源"，证明存在文件上传漏洞。

1、由于系统开发商赶来还需要一段时间，所以先从软件层面将漏洞修补一下。

文章来源：奇安信攻防社区（苏苏的五彩棒）原文地址：https://forum.butian.net/share/889

如有侵权，请联系删除