zafuSSRF

欸嘿，挖到了本校的漏洞

信息泄露

在登录页面暴露了admin端口

在未登录状态下访问admin页面，发现200返回

虽然admin页面没有正常返回，但暴露了ueditor编译器的配置文件，里面暴露了一些配置信息及服务器统一请求接口路径。

确定ueditor编译器为1.4.3的PHP版本，存在SSRF+远程文件上传漏洞

SSRF漏洞验证

使用 UEditor 的 catchRemoteImageEnable 功能和action=catchimage 参数，可发起任意 URL 请求：

GET /ueditor/php/controller.php?action=catchimage&source[]=http://example.com/test.jpg

可成功下载远程图片并返回服务器存储路径，证明存在 SSRF。

访问图片返回路径

文件上传漏洞验证

使用 action=uploadfile 或 uploadimage 可上传文件：

支持上传静态文件（如图片、txt、html）

返回文件访问路径，如：/ueditor/php/upload/image/20241105/xxx.jpg

限制：

• 无法上传PHP等执行文件
• 无法绕过内网IP过滤（如 192.168/10/172.16 等段）

风险分析

• **SSRF：**可被用于：

探测内网服务（如 Redis、MySQL、Web 服务）

结合其他漏洞形成攻击链

• 文件上传：

可上传 HTML 文件，用于钓鱼或 XSS 攻击

上传路径泄露，可能暴露服务器目录结构

修复

升级 UEditor：建议升级到最新版本，或使用已修复 SSRF 的版本。

限制请求协议和域名：在服务端对 catchimage 请求的 URL 进行白名单控制。

禁用不必要的 Action：如非必要，关闭 catchimage 功能。

更新: 2026-03-18 00:35:12
原文: https://www.yuque.com/cindahy/zpmv6w/qap4hczkwc7h7fch