eWebEditor.asp?id=45&style=standard1 样式调用6 J) N: H( {; a3 D0 Y
% o; u6 K1 D7 d$ w: y3 G
3 W; S& v' c. q) g$ v
/edit/admin_uploadfile.asp?id=14&dir=../../..7 I I5 D+ N# ?5 g
可以浏览网站目录 ../自己加或者减
" C9 {1 j4 u8 [3 b2 m3 Y
O9 S) P' C( m% j. M有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
9 u6 `5 t+ b" x6 @( W简单利用就是
" I# Y8 ?: B, N0 N+ r4 M# S% rhttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
- ~, ^$ K( M f5 Ohttp://www.siqinci.com/ewebedito ... amp;style=full_v200
+ Q* l& ?* _# ^9 c3 M+ V可以利用nbsi进行猜解,对此进行注入/ P* }" v( E' U( ^
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
4 b+ }8 p3 g, W! j" C1 d% g, n0 W这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
8 V- C- f7 K1 G y2 @在action下面4 B/ B8 Q/ _/ c4 y) k2 z) F
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
. k# k1 m& a; |- z' e p! e<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value"> q/ a: h2 v; l6 Y. z( v: z
<input type="submit" name="uploadfile" value="提交">
3 U; ?0 Q, t; S6 D }$ j) s5 F- W5 U<input type=hidden name=originalfile value="">
; X' c& H9 f8 ~</form>
# u/ z+ Y7 W- h9 M7 r------------------------------------------------------------------------------------------------------------------------------------------------% A; _2 b% P' i2 F I5 g2 ]
<input type="submit" name="uploadfile" value="提交"> 放在action后头
6 j/ u0 S) H4 @7 z; @,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。$ B, _, D6 p% z8 M6 n" K9 A
6 {3 T) }( f) e: c) y3 U
- g* D/ }+ g. n# a3 P
# d; u7 M/ x) z, j
; }2 F! c* _7 I) R JEwebeditor最新漏洞及漏洞大全[收集] (图)% e( s+ y8 p( S3 @3 T, g- L# x
本帖最后由 administrator 于 2009-7-7 21:24 编辑
' {* ]4 t( C- u, x1 [9 v7 L0 }, D
以下文章收集转载于网络! _8 d+ V3 Z$ E+ X
#主题描述# ewebeditor 3.8漏洞[php]* E# A/ d4 m0 d& b c7 L
--------------------------------------------------------------------------------------------, _- p N& R. `# Z) v
#内容#
% R1 }1 R3 n4 c+ G. |php版ewebeditor 3.8的漏洞
6 _8 q7 ]$ W5 Q& x9 Qphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
V; b" g4 W8 j5 L1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,, x) T# ^* N& U; f2 ~
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了" Z# J" F9 F" w6 r# a
3 后面的利用和asp一样,新增样式修改上传,就ok了
3 F4 z# ?/ B1 `5 V' n# |0 R测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
7 s4 m) x) l9 u9 _aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
3 T) ?7 } ?) t3 Q1 ^& p/ U! N% Qjsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
/ l5 p" c, Q. ]2 @7 L3 o--------------------------------------------------------------------------------------------
' ?' X/ X6 }8 ]9 m7 S, c% ?* v5 B0 p
' Z, l9 B1 }# B1 U, i2 b算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
; h6 w* [! K0 i( I) u* [0 r( A7 a0 _) K
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
3 E1 O1 d) H' f* ~' y* i( q ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
- G c0 k2 a* `' \那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址5 _5 |4 \; D( x' u: t& H- }
/ w; `/ o% Z! \& L; ` J8 g
6 {6 ?' d2 h" p" O4 S
然后确定以后,这里是最关键的一部!$ P( R8 ]/ g* {" _! L) Y% e
这里点了远程上传以后,再提交得到木马地址
j0 M1 }) D0 t% N$ V* O由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
& f- z( o0 j" R3 y, w$ E2 e属于安全检测漏洞版本ewebeditor v6.0.0
- Y& Y3 T- E; p! v$ ~7 C0 n; j
! o' e* c1 f, p, e! u4 I7 o& u以前的ewebeditor漏洞:7 U' o; u) w, G, p: n7 u0 R
: x7 K$ m1 g5 [8 X* b
ewebeditor注入漏洞+ N9 H+ u0 D' N' ?5 D$ s
a0 K* ~# p2 u7 \" _% x+ I% K! r大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
6 D/ e* h3 \9 b* s0 r0 X默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
% ^! B+ R8 G- O- b: A4 T8 B今天我给大家带来的也是ewebeditor编辑器的入侵方法9 W6 B( E8 E+ X1 w- x% D5 s+ }, l! ?- X6 L
不过一种是注入,一种是利用upload.asp文件,本地构造7 }! U5 } g( G, c
NO1:注入
- E- _. J$ }! e: ]9 T2 @1 @http://www.XXX.com/ewebeditor200 ... amp;style=full_v2001 v$ @: b# ^3 ^3 _/ N
编辑器ewebedior7以前版本通通存在注入# D& E7 p( j+ w$ W
直接检测不行的,要写入特征字符
' D z& v6 o- N; K! ^我们的工具是不知道ewebeditor的表名的还有列名! Z6 l2 X p5 _9 W8 R5 M! X6 F0 F+ V2 V
我们自己去看看. ~1 I% z& q! p
哎。。先表吧. m& m& g: Q4 @- b r
要先添加进库
" w( m. m0 U& S6 r) N. R. Z. G开始猜账号密码了
- m; k: `8 d2 g+ [1 N我们==$ [; i9 D; u" p a1 E* L: z- _
心急的往后拉* q# R- h4 |0 ~" J% ?
出来了
& ]6 M+ }) d+ _" \[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
; C+ O8 T% b1 [- l6 @对吧^_^/ ~3 v$ L* ?$ r0 w
后面不说了
6 D' R& v, {: t" |2 UNO2:利用upload.asp文件,本地构造上传shell
* y5 T* t$ d$ Q0 |# n. h大家看这里
) m0 D+ g2 I# Z/ g: y, Qhttp://www.siqinci.com/ewebedito ... lepreview&id=373 x, M8 Z: C' }; Y+ L% r3 S1 L. E( u
如果遇见这样的情况又无法添加工具栏是不是很郁闷
4 J* Q, r5 J5 w! l; M( b8 {现在不郁闷了,^_^源源不一般
' U7 y. ~9 J8 ] ?我们记录下他的样式名“aaa”
) K9 ~) Q9 A W我已经吧upload.asp文件拿出来了, m0 v! v0 L! |" p) H" c2 y: {! Q
我们构造下
: j4 v( r' W% TOK,我之前已经构造好了
0 p, q; M' M! S- _( T- }其实就是这里
* `3 A) v5 M( Y$ n4 [<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>! i+ `& `6 W$ i# B
<input type=file name=uploadfile size=1 style=”width:100%”>- H6 ]9 k7 J% @7 I# Z
<input type=submit value=”上传了”></input>
& B* U) Y9 {8 X! K4 {$ w</form>7 j( d( s4 J0 t3 E2 }; T1 r2 k. W
下面我们运行他上传个大马算了
7 U* H; J+ |, V& b/ {UploadFile上传进去的在这个目录下
* y$ T: P5 y0 D; `2008102018020762.asa9 k+ f* F {/ [( L
, H- I- g+ u! [3 L
过往漏洞:
0 T5 h& F+ W d. G
5 c1 Y' @; q/ r; r! B首先介绍编辑器的一些默认特征:3 q/ H5 A& P2 s$ t+ ?- k5 J7 `
默认登陆admin_login.asp# x; ?( j3 X. ~. h% B8 K$ v
默认数据库db/ewebeditor.mdb: @6 q7 T" I7 |- l1 |
默认帐号admin 密码admin或admin888
5 c5 {+ a& j; _ @4 k1 E/ W+ ~, Q# Q搜索关键字:”inurl:ewebeditor” 关键字十分重要( l. l1 P& D# v: _: X9 F: o2 X7 @
有人搜索”eWebEditor - eWebSoft在线编辑器”) T" p* S) a- m' u
根本搜索不到几个~
# Q# u6 V& x, K) [6 B* Sbaidu.google搜索inurl:ewebeditor
+ r6 ^5 A4 ?' i9 C! R* H1 G几万的站起码有几千个是具有默认特征的~. Q2 k9 g! _8 d, W* @
那么试一下默认后台
* ~. x& \/ e; r4 [# c _) nhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp5 ^4 m% N* g8 k% U9 Q
试默认帐号密码登陆。
9 q* Y% X, F- T/ T$ f) d* ^& I V利用eWebEditor获得WebShell的步骤大致如下:
/ \+ g3 j* I9 m/ P" w7 V4 [' U1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。/ ^! s; A7 f1 P3 D. g6 t
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。" h3 l" w' b3 y
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
1 d! G4 |3 }, h4 @& [2 @如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!8 v1 k/ v0 ]- F: x4 @# a
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。) E2 q( N+ p0 f. L
然后在上传的文件类型中增加“asa”类型。
; t$ U6 @6 b" [. A& l5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。+ }1 r) F2 t! s0 w; f% t4 a/ c
漏洞原理1 x7 n! ]0 h9 j- J) g
漏洞的利用原理很简单,请看Upload.asp文件:
, v7 k$ f1 H |: R6 s X: L0 [任何情况下都不允许上传asp脚本文件
6 s" _5 [. u! h+ c$ x+ EsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)" ?, m% t3 R+ I- ]6 k5 v
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!* A; Z. N) w3 m! ]8 O
高级应用
7 V8 _" H+ @+ ]5 B. _eWebEditor的漏洞利用还有一些技巧:
, O+ \" ^6 ^+ e0 }. u! Q1.使用默认用户名和密码无法登录。# k4 _( [- S% L3 L5 {/ d
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
% a) t: z" h% o, @8 I# o2.加了asa类型后发现还是无法上传。
5 W" W: g f* H. ~0 [, R; z* s应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
4 r- T! t. r# f- w) ?* gsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”): t9 n/ K o& e! M9 e, {5 ]" y: H
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。 I8 o N% F/ |9 {
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
2 |6 }# s' J, _1 X1 p% K呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
# L# [7 b U+ L* w* `3 n( p* }4.已经使用了第2点中的方法,但是asp类型还是无法上传。
* w3 i( R+ F3 M9 f7 X( q# b: A看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
$ L; A# {' E6 i1 }( H后记) y, o. R; [ O7 }0 h, I4 M
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!, S$ k6 c. V+ \7 Q, x& p# t
基本入侵基础漏洞
1 |- ^! ?* V" |eWebEditor 漏洞6 w9 r- [- B. `* e/ x
; V3 M# o8 _2 i- \/ K: E4 u) R: a' x
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
/ O# ?& u* i) @ x0 y
c: k+ I/ g; g! F4 ]8 u4 k: D漏洞利用
: @0 A' T* B: Y+ a" B) c利用eWebEditor获得WebShell的步骤大致如下:9 T/ R4 N! i3 ?
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。6 a! u: y6 M. K1 T* ?
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
4 x$ a% _$ i( j$ t* N3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
3 A8 c9 W- a& e0 `% H9 m- P如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!) b0 q5 F' H. |! D: H4 w
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
+ |, @; K" z- l; b/ d3 s3 z y- e9 ]7 M) V I: o8 v! M7 ~, }
然后在上传的文件类型中增加“asa”类型。7 A" W4 _+ V# W4 p# ~, k# U
1 }# l- q+ J' C8 v5 D$ Q5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。 s$ y9 z' v0 Z5 n$ [/ d
' i8 `& V9 N, f9 S% B% }
* H& Z* B2 z& {# h$ |漏洞原理7 s7 Y, E6 [! R; P2 I) X
漏洞的利用原理很简单,请看Upload.asp文件:
3 [" w7 ?5 w+ K) o% C$ k& D# \& U任何情况下都不允许上传asp脚本文件4 y8 {2 P: u) T2 \8 E
sAllowExt = replace(UCase(sAllowExt), "ASP", "")
$ I) j) ]5 _/ L% A/ m. p因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!- P7 G0 ` p' A$ c* j3 r( e) n* x* b
3 f$ V- [. a& A4 d$ K3 Z
高级应用8 ?$ d4 _$ F: z/ n/ Z
eWebEditor的漏洞利用还有一些技巧:
1 ] y# B) Z' {7 S( l8 g# p1.使用默认用户名和密码无法登录。
' V' {, J) r) G% w请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
* [) l3 J6 b/ q9 I8 o2.加了asa类型后发现还是无法上传。6 P1 z: y2 d6 x6 t K; _
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:: \" A, H% E8 }; P2 b$ a
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "") a( ~ n+ I2 e& X& @( }0 x" B% v; V
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。5 [4 x) a$ Y* x' ]6 z& M5 R2 {% U
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
2 c2 b9 y3 \# X2 z- @呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。1 G( j4 U: F7 ^3 m( q
4.已经使用了第2点中的方法,但是asp类型还是无法上传。3 y6 j& k2 \ b a1 Q8 L* @
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。$ ^/ c& o6 _2 _3 I$ c
4 L3 o+ a/ i% O3 H0 M. f8 c后记
: ]5 E1 J1 f4 [, L: y7 @根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对