中国网络渗透测试联盟

标题: Ewebeditor漏洞2 [打印本页]
作者: admin    时间: 2012-9-13 17:00
标题: Ewebeditor漏洞2
eWebEditor.asp?id=45&style=standard1 样式调用+ B; V. y- b. W. l7 x

7 j# `5 w: E5 |# }4 x% B6 O& z. m6 ?$ {* p* C1 I
/edit/admin_uploadfile.asp?id=14&dir=../../..
/ ]8 i, u7 l$ I. P可以浏览网站目录  ../自己加或者减9 j% h) c( E8 W* N

2 _, k) n6 c# {9 D有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞, B8 \( B; n* i: d9 l+ ^" F! c5 ?
简单利用就是  W: C: `% Y# U. {" d
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
: o9 k+ b: T4 s. b! bhttp://www.siqinci.com/ewebedito ... amp;style=full_v200# A1 \, y/ o5 h) D: q; S
可以利用nbsi进行猜解,对此进行注入
+ E9 a8 M8 `  Q3 o4 p# N/ k还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
; H# i0 C% x6 [# V9 u& ?这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:7 s9 }' W5 X* U# W
在action下面8 R# D: o* a2 \- W
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">& z! ^* G1 n5 f
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
' f* W3 Z$ W4 x7 B<input type="submit" name="uploadfile" value="提交">$ b' N( y3 D" Q
<input type=hidden name=originalfile value="">. y* N0 A* o4 M" _; h5 U# b! X
</form>
( B8 @# \0 N: `+ l7 k) C------------------------------------------------------------------------------------------------------------------------------------------------1 z  f) V9 a1 f' ~% e; v
<input type="submit" name="uploadfile" value="提交">    放在action后头
* L0 Z* [3 D* s- Q9 I# c7 J( N/ p,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
% O2 T& Y. L; r% u! m
% S7 i) o8 ~3 S. i
9 {/ p/ O. a6 X- N
- W# B- i' `+ X0 Q( e" i; @, \8 g* T2 g" A: f
Ewebeditor最新漏洞及漏洞大全[收集] (图)% v5 X) U, v/ p3 y" E
本帖最后由 administrator 于 2009-7-7 21:24 编辑' z- L! a" `0 O  [

- x5 f* [) k& u% n9 P以下文章收集转载于网络& q5 H* Z4 }/ {8 k4 P
#主题描述# ewebeditor 3.8漏洞[php]
" _2 }2 I# c# ?6 e3 _1 w--------------------------------------------------------------------------------------------
8 Z: m3 ^; o' q& T- U& r#内容#2 E! D1 p! }2 p: s" s; ]9 B2 a
php版ewebeditor 3.8的漏洞. n, ?6 _: R; p% d8 |$ ~* }
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
* V) B' M" i. @5 W$ e: Q: I0 K+ R! Z6 b1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,9 I; }3 Y: s: B3 h- Z/ j
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
) d9 q1 P# c; _3 后面的利用和asp一样,新增样式修改上传,就ok了
+ z# x9 r2 b# D3 @测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)3 O$ p4 V. f- y( Q, v0 s; _
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
1 O& Z6 k$ b: F, X7 Qjsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了6 w( G. @2 Z6 |
--------------------------------------------------------------------------------------------
% e# v/ \" c* Z. k$ A1 r( o! @0 b  d4 F0 O
* b! _6 v4 a. F+ c* o3 u
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。) R/ d% P/ c2 F% H0 N
) _2 E, ]  ?' R; p) ?
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog+ B4 F% F* z7 I+ f
        ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
1 m+ V! v& W  @8 N1 G1 U0 B" [那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址% r2 D" ?( R0 e% X

$ w" {6 i) q' r% L5 h# \# O" ^$ |" J
然后确定以后,这里是最关键的一部!
( ~" ^- @  E+ O- K+ z这里点了远程上传以后,再提交得到木马地址
- \9 x- H$ B) C1 `: P由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限5 s/ Z* j! U  P8 V4 a
属于安全检测漏洞版本ewebeditor v6.0.01 E: F( z- {1 @8 a7 ?

% b2 m$ z8 K. x0 l( V! \5 g以前的ewebeditor漏洞:% ~2 d! {: @  b& w# w! Y

3 V- H, |# d! A1 Pewebeditor注入漏洞, i9 @* D3 ]$ e/ ]. b+ ~

8 Y  k5 ~9 i* H大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
: r9 V" H- ]) A0 Y! s' `默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话, Q: o  {# x0 ?
今天我给大家带来的也是ewebeditor编辑器的入侵方法
$ @2 z- A4 ~+ f7 J1 @不过一种是注入,一种是利用upload.asp文件,本地构造
) y  }4 H+ u# ^NO1:注入3 j' ^3 N( i1 Y
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
9 V  C, m+ g) @. [  M, N; m; b编辑器ewebedior7以前版本通通存在注入8 E# B5 h) }3 A- e7 }
直接检测不行的,要写入特征字符* q8 m  F* y2 c, m% A7 \
我们的工具是不知道ewebeditor的表名的还有列名4 r# o3 p# `5 R( R2 [
我们自己去看看9 r( P* z4 X  W2 @
哎。。先表吧0 V+ a. U1 g- ^2 L( w' J% C  r$ r
要先添加进库
1 o. f) o3 S1 f开始猜账号密码了
2 {" p2 v/ g/ Q. E- x8 ?9 T2 W我们==% Y0 }" x5 B. X
心急的往后拉5 I2 i7 g; v# f2 W' n! m8 X2 c# J9 u
出来了
+ H! M# J) q* F[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511201 R) V, Y4 |# m1 O1 F
对吧^_^
' k4 u( w1 |% Y- v后面不说了
% m3 I9 `! p& U/ L) n& r) W$ ZNO2:利用upload.asp文件,本地构造上传shell( D) E0 |% N# z3 d1 r
大家看这里
  C: t% v( U9 Dhttp://www.siqinci.com/ewebedito ... lepreview&id=373 B7 e1 s! s% Q5 k' j4 `  `
如果遇见这样的情况又无法添加工具栏是不是很郁闷
2 H* e( S* x/ r  [7 K" f现在不郁闷了,^_^源源不一般
; P! b- v6 m+ y, E我们记录下他的样式名“aaa”* f" g: r* q2 W
我已经吧upload.asp文件拿出来了
9 d$ l* z7 x$ _( ?我们构造下
; ]3 Y( t) r/ c; K( I0 y$ rOK,我之前已经构造好了
0 x  E3 L7 L5 `  Q3 H9 d其实就是这里
) k9 r1 A% ^7 }. C0 }' c<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
  n) w+ H/ i4 Z4 R* J2 v) ]& S<input type=file name=uploadfile size=1 style=”width:100%”>! }; y7 C  M' H* y' h
<input type=submit value=”上传了”></input>" L$ Z/ v+ H8 m( w# M$ E% q
</form>
$ N0 v& g$ k$ I: f! a+ i下面我们运行他上传个大马算了8 ~8 H7 t! d# s! ^0 B
UploadFile上传进去的在这个目录下
/ D0 f1 t1 u3 R- q* l2008102018020762.asa
; W+ b# W  U. r$ \$ ]$ W" f& h& u/ J
过往漏洞:) \& k% Z9 d6 P

' n4 Q5 U5 z( ?首先介绍编辑器的一些默认特征:
; u1 }2 X* y7 V1 p默认登陆admin_login.asp
- F! u% ~: w3 N/ g7 n2 h默认数据库db/ewebeditor.mdb: E, t  |0 c& _4 F4 V
默认帐号admin 密码admin或admin888
0 s: w5 i: Q* X! S& o9 Y0 h2 s搜索关键字:”inurl:ewebeditor” 关键字十分重要: J# K4 i5 a' M" i1 Z
有人搜索”eWebEditor - eWebSoft在线编辑器”! @& g/ T$ \% p! k; A: T# s* Y
根本搜索不到几个~
8 Z( T* o% k6 ]: S& G5 sbaidu.google搜索inurl:ewebeditor5 t8 m& t# o2 |8 g
几万的站起码有几千个是具有默认特征的~) q4 s' U& E- `! H- t8 X
那么试一下默认后台
  Y: }. Z7 I) }5 Z4 [# K; K. dhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp% S4 t; w; S' c8 f
试默认帐号密码登陆。6 d- u( V4 \5 b3 P# y3 ]! I
利用eWebEditor获得WebShell的步骤大致如下:: D' x2 l9 O$ R6 c
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
8 \; u5 q# ^6 e  P5 D- ]2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。  f( g  D& |, X8 d8 J3 t/ J; b
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
, f$ f& V/ Q  b如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!4 R& `, g6 f: V/ a: `$ ?8 c6 ?
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。; ~/ M2 Y  ]' {5 n" O/ R( k/ ]
然后在上传的文件类型中增加“asa”类型。
' o# C2 y* J) s" ]( S5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。$ m! @) }) E) W* A: U) ?
漏洞原理  w: a7 U& e, h. g$ t# J0 m+ @
漏洞的利用原理很简单,请看Upload.asp文件:# F+ [; l! e' {
任何情况下都不允许上传asp脚本文件
$ _( B* E1 Y2 qsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)4 _8 ?' _9 K+ b6 ~+ C1 X7 ]
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!0 ^/ F$ S% f! L  e+ e
高级应用/ i! k+ N8 J6 L% P( t1 |. P
eWebEditor的漏洞利用还有一些技巧:
& W7 a$ f2 ~2 _# g+ C1.使用默认用户名和密码无法登录。
, T: z$ o& G+ {, Z+ u- l) c2 F1 h$ ]请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
. I2 y, s% w2 c( x. z2.加了asa类型后发现还是无法上传。
$ \3 G' @' l6 h% n& A应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
8 ]" Z$ W% ?! ksAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)6 P$ v8 f+ {0 r& `" u. i5 `. T
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。* @( @7 T8 f5 @5 N, a( X& ?4 R
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
) p: o' g/ g9 l' M呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。3 u* c) p. V  s# c
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
* y0 w1 k7 y- w2 g9 Y8 ]) M2 W看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
  F9 t2 Y0 ?9 M# P/ p" X. k4 B6 s后记
7 e' a8 x  D0 B根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!& k7 x& ^. F& M- ]
基本入侵基础漏洞
2 B* v1 @( W$ ceWebEditor 漏洞3 D) }% }& ]/ g  j

5 H- Q5 M2 R; Q% y) P各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!  - u5 A; ^# C5 S( u) w& j
- O0 Q1 t! F3 P8 J& H
漏洞利用1 D5 ?. l* w: z4 R5 |
利用eWebEditor获得WebShell的步骤大致如下:
0 }4 ~! o% {$ B6 G8 O8 o. x2 s1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。2 F) t6 O$ h9 d: L. H1 G
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
1 {# n6 F4 G9 F$ O0 H6 R0 V' I# ~( S3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。) q: G& P2 w8 }: Q2 P
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!" p- H* l8 R, i7 g$ N6 ^
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。1 F- f' Z$ D0 f
! w* Y) x9 p( @. u" C$ k+ v! G1 ^% [+ _
然后在上传的文件类型中增加“asa”类型。; ~" `- {9 a5 D4 A6 c
" n1 q) Z0 u$ \7 [6 ?8 h
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
! X2 Y/ Z* z: z* F( r! n1 L
1 q" L2 g/ _) W5 _* Q4 A7 H7 N# }: R* R6 {4 q. l
漏洞原理. w" _; v9 K% h% k$ C
漏洞的利用原理很简单,请看Upload.asp文件:' p1 y( R6 a6 F, i
任何情况下都不允许上传asp脚本文件5 Z# l/ {1 X7 E; Q9 F9 [
sAllowExt = replace(UCase(sAllowExt), "ASP", "")% O, s9 G& d4 }6 ?- _9 r- ~
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
" S; q2 W: s0 |+ P8 Z' F- g
/ l5 @4 h/ h% I0 k* |. x高级应用$ f/ H% ]6 B: b4 \( k& J6 I  q* U
eWebEditor的漏洞利用还有一些技巧:: \% j! y8 ^. N& i1 N+ O
1.使用默认用户名和密码无法登录。) \6 z3 w1 X/ @6 y% J% h
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
- X, ?1 P, k7 s' D, K) k2.加了asa类型后发现还是无法上传。
# W* Z# \! A0 ^" h应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:% V5 ~, s0 g) N' E# I! {  u
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")/ f* `& o2 l$ j; p
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。3 Q8 s6 Z# S' p
3.上传了asp文件后,却发现该目录没有运行脚本的权限。% k8 s% s4 c) z# f3 F7 g+ L) d9 B. O
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。& }& u" l, X3 J/ W8 r
4.已经使用了第2点中的方法,但是asp类型还是无法上传。3 w/ E% ~  P+ l; K
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。4 j' d& X9 J. ~0 ~6 ~

4 _& W" B8 B) k' d8 f  e4 \  |  W后记8 W" _( s9 j! i
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2