中国网络渗透测试联盟
标题:
ewebeditor漏洞收集大全
[打印本页]
作者:
admin
时间:
2012-11-18 14:24
标题:
ewebeditor漏洞收集大全
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
# ~( u; s% e) k, i
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
6 s; [+ ^$ s4 b) @; _3 j) G
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
7 g3 Y f- B8 N: I
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。
http://127.0.0.1/1.gif.asp
搭建好了 ,在官方的地方执行网络地址[attach]117[/attach][attach]118[/attach]
( F& h9 d# V$ g
( B3 r, E, p. X. P$ E8 o
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
. L9 K3 t6 U9 A. a1 L( v, D" ~2 J0 x
属于安全检测漏洞版本ewebeditor v6.0.0
8 h$ t2 x% E( z* S1 z7 Z9 U, p
! L# o T# b8 A) C, Y @9 f3 X& p
以前的ewebeditor漏洞:
) e: h8 }! e4 O' v9 D
ewebeditor注入漏洞
, r( |, a( A6 H+ r. Z8 W( K" ^: J
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
2 z( c2 O9 a: _6 [; X3 u/ M3 g. S
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
6 ?" N5 S5 p( R! Q5 q& Z
今天我给大家带来的也是ewebeditor编辑器的入侵方法
3 a0 X5 M1 w& r8 w
不过一种是注入,一种是利用upload.asp文件,本地构造
+ |0 S* _; i* f9 W* ~
NO1:注入
! i2 b9 p) [' b
http://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content
&style=full_v200
3 M" e0 n) `9 U. G& ^
编辑器ewebedior7以前版本通通存在注入
1 D7 X, D& ^% C0 |* p! c) t
直接检测不行的,要写入特征字符
$ C: f% r, ]' {8 j" }8 Q
我们的工具是不知道ewebeditor的表名的还有列名
+ k0 o) W7 b2 E9 w
我们自己去看看
! r+ w* g. ]3 n A1 I7 W
哎。。先表吧
' \7 L) t. E3 ?7 B: k+ D' O
要先添加进库
, l- @6 j+ j" F3 \5 ?! k: F/ F6 z
开始猜账号密码了
3 J2 P+ g* c3 K) {0 C
我们==
5 K& M6 O4 l& n. _
心急的往后拉
, p$ p: Q |+ W9 H
出来了
& Z% o' [5 n! J* J
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
0 Z; c1 U+ k+ j( {5 D6 J9 ~
对吧^_^
8 K) n! w2 F r* p: V" ?
后面不说了
N/ j+ M" ~# g# _1 G5 t) g d4 v3 K
NO2:利用upload.asp文件,本地构造上传shell
w6 d0 k5 X/ O. F" m
大家看这里
$ [( @& L. o7 r1 `/ l* V/ k' i
http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview
&id=37
$ u" P. S% B7 |# d, h# j: c7 v5 n. E
如果遇见这样的情况又无法添加工具栏是不是很郁闷
' _) P1 A2 J# X7 d' l8 C
现在不郁闷了,^_^源源不一般
) ?6 `: |( S! Z. |% [0 X
我们记录下他的样式名“aaa”
1 b& g2 L6 V9 j- k
我已经吧upload.asp文件拿出来了
1 h9 ?: r' E! m8 Q6 y8 E
我们构造下
& G; K& G2 s) C3 p
OK,我之前已经构造好了
7 ]- ^$ r \( |0 a2 ~( J2 Z& _
其实就是这里
/ p& m, a! S. |7 `1 M
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
2 b, B6 |& n* g6 j! p' O' Q
<input type=file name=uploadfile size=1 style=”width:100%”>
, U5 C/ F, b! h$ T) p. Q+ j' T# M
<input type=submit value=”上传了”></input>
$ i9 i; E U/ }( Q" T" D1 ]8 P
</form>
% y+ F, a! r% K T# d2 F
下面我们运行他上传个大马算了
4 ~- C, r0 W$ ^! N
UploadFile上传进去的在这个目录下
& W% @7 Y8 y; _9 P
2008102018020762.asa
+ b9 x7 ~0 D1 Z1 P
过往漏洞:
k6 ~7 Q9 d* l( u7 a8 u' W
首先介绍编辑器的一些默认特征:
' v* e4 Z" _) x; D3 Q! {3 X3 L' ^
默认登陆admin_login.asp
0 g3 C: i' Z/ W' C
默认数据库db/ewebeditor.mdb
* n* F& \* Q) |1 r! i) X
默认帐号admin 密码admin或admin888
" v! ~9 f8 y: h2 ]/ a$ Y+ |9 ~# _: W& l
搜索关键字:”inurl:ewebeditor” 关键字十分重要
/ D+ P3 w; F' b% [* W3 g9 n' X# a
有人搜索”eWebEditor - eWebSoft在线编辑器”
. m' c9 }# W# v
根本搜索不到几个~
# d/ I5 x) b) {6 U
baidu.google搜索inurl:ewebeditor
) a3 O& f# f6 R( p8 h
几万的站起码有几千个是具有默认特征的~
# l/ `5 w! z a3 |
那么试一下默认后台
, V; u3 u( U/ M, s: g; W# Z; e
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
7 I0 g* N/ Y7 q- p
试默认帐号密码登陆。
( o3 c" o& W, M
利用eWebEditor获得WebShell的步骤大致如下:
) _4 @5 g& |, o; v5 M& A; [
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
$ X3 S' H `( ?! L: `! R) q4 u) p
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
9 g1 s! D4 k( f1 y1 }4 S. e
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
% s" E5 ]: M+ L/ d- z6 }, m
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
6 l0 s- f1 T8 R8 ~! B
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
8 D( e& l9 x2 @3 d
然后在上传的文件类型中增加“asa”类型。
; w8 d& Z3 O2 C! V# \
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
; H/ E; b% H6 V& A& x5 X
漏洞原理
" X( A2 m9 R3 U f
漏洞的利用原理很简单,请看Upload.asp文件:
; S' R6 C9 q" c, a6 \
任何情况下都不允许上传asp脚本文件
5 _7 Q1 j; o: z# y, O# Q
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
- Y: g3 H) b0 X3 ^( ?, G* b
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
9 X2 P6 q! z* m3 L$ L
高级应用
& g* T- H9 i) B8 ~ ]
eWebEditor的漏洞利用还有一些技巧:
3 n( U5 R- f4 }' m( }
1.使用默认用户名和密码无法登录。
+ Q0 s2 I9 {' m$ {8 ]7 B% N# p" F* F
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
/ O* J$ h" t( ~, ?" j) ~( w
2.加了asa类型后发现还是无法上传。
& _& x: A- R. d( o5 L' X% Q
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
) L, a* n$ s$ j8 E* o8 r
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
. A+ t$ s4 }2 Z
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
4 a- p% A$ Y) H2 u$ E8 G! ?
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
2 n8 u, W# t4 P2 _3 l
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
3 r! a* g: c; G' D$ a
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
/ D' a4 E. v- W5 q" E( l* F1 I$ x
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
9 M: |& m$ z7 Y5 R/ g( J$ I c: c
后记
G" W" a# F. Z# m$ V3 U" U+ j/ [6 c
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
+ B z. L4 `4 ^+ s6 \0 C
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2