eWebEditor.asp?id=45&style=standard1 样式调用( ?7 g1 q: o- Z& O/ R6 {+ M/ q
3 |- e. Q% F0 f( u3 T* Z7 Y+ I1 K5 G4 a5 K/ F( K
/edit/admin_uploadfile.asp?id=14&dir=../../..
% o4 y3 m% c+ E5 j7 I7 @可以浏览网站目录 ../自己加或者减
8 a# Y, j7 m0 d/ }" s0 ~! ^) Y1 R! i" P# A5 `* x5 M
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞. a' X, G% t8 t( y- h1 r6 b3 d
简单利用就是9 T* a3 c2 D! g& a1 N" K
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200 N! O8 \0 L* [" M- O2 l
http://www.siqinci.com/ewebedito ... amp;style=full_v200( c# b6 _; Z' Z4 x; b
可以利用nbsi进行猜解,对此进行注入
! K# f& X9 h( V3 y# j还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
, T8 u4 i. s0 I9 J4 }这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
2 N1 r3 j1 c: c4 [, i, y4 N+ c0 s在action下面
) J- B% v, e. m/ G<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
* s* G8 Q7 H0 w% H<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">2 [. x# C8 Q6 E+ L
<input type="submit" name="uploadfile" value="提交">2 [' \% R. j7 N H
<input type=hidden name=originalfile value="">5 F( x: \6 Z+ G) e
</form> A" Q6 J8 I! Z4 t9 `+ z5 x1 b
------------------------------------------------------------------------------------------------------------------------------------------------, w O% d9 F- M
<input type="submit" name="uploadfile" value="提交"> 放在action后头# L- L9 b; w: t
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。' ~/ |! E- I3 ]8 j5 p0 F
& B2 V% `6 {, j7 h- k. C
3 p* u0 G+ u u+ z+ Z/ m
: x% u' e0 K: R0 N8 u0 F% r$ S: g6 j! I0 w2 F; g/ g* p3 w
Ewebeditor最新漏洞及漏洞大全[收集] (图)
) _: l+ {) u4 ~" o! b本帖最后由 administrator 于 2009-7-7 21:24 编辑
2 g; s5 L B- Q+ J( ^' d
- J2 i! Z% R# w# h以下文章收集转载于网络
& N& R( |3 E& s+ C }- Z# ?, z#主题描述# ewebeditor 3.8漏洞[php]. \9 u- i$ i/ m5 c7 Z1 P. a9 ~
--------------------------------------------------------------------------------------------
/ z& \2 q# h$ F#内容#
6 k- i8 ], W: ?php版ewebeditor 3.8的漏洞
$ o- z2 G; o' Z9 @3 e% w' wphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:8 Z1 `/ m: `4 P$ r( V7 N
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
0 g3 a; l/ q R' ~1 \/ d2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
# f* T, |% U1 U; }1 t E3 后面的利用和asp一样,新增样式修改上传,就ok了# G6 m) W7 }1 C: h$ p, ]; R6 q
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
( I4 \# |3 x( F0 R/ B/ F5 E8 ^" ^aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
: b: J9 y. ]! T: @% z) Q: ^0 ^jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了9 c4 m8 e# I% s5 o9 ?, `
--------------------------------------------------------------------------------------------, i5 H U) b- Q, I- E
/ x- u. W4 D" ]: w
2 v! }9 x5 `9 D4 L G7 y2 h* L算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。# j* q+ P. n$ X0 o: d9 o
+ @) ]* B. l- P
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog) ?* w: p$ I: l( z' W
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
) k' ~) S, p4 j# X8 p" ]那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址6 F) E9 W. [/ Y0 g& S% R
2 L' D3 `; C c3 F% t& L
7 C6 i" ~ X1 k# K5 ~然后确定以后,这里是最关键的一部!) ~2 V& I) I% N) s$ j- ]
这里点了远程上传以后,再提交得到木马地址
0 _& \' W, i" J% O" v# {由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限 X2 D/ L4 ^. x! r
属于安全检测漏洞版本ewebeditor v6.0.0: J- ~. o# ?0 D) f1 \! Y$ q# {
$ v& g: C! q" N! {0 y2 g
以前的ewebeditor漏洞:
: I# P9 f. \9 f& k8 p$ f
# C; g1 B, c1 I$ S' [" O2 l) E! Rewebeditor注入漏洞) m& x! P; l+ {! {; G7 h1 Z* @
) S( n% g# O' i6 t( b1 A大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
! v+ q4 W/ o/ D- `+ J1 ` |默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话 m V: M& k' R9 O5 y' h- F
今天我给大家带来的也是ewebeditor编辑器的入侵方法
1 J6 T- E. V% N8 Z5 |/ U6 J; s1 @不过一种是注入,一种是利用upload.asp文件,本地构造
/ T% |& I ^; w- T& y, oNO1:注入
4 _2 K$ B% i: Nhttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200% i8 B3 }. z& e' l
编辑器ewebedior7以前版本通通存在注入3 W2 S+ [! o! w
直接检测不行的,要写入特征字符
$ ]7 F% u0 ]" o: i/ n我们的工具是不知道ewebeditor的表名的还有列名
/ }, s! ~1 S8 M: F4 V我们自己去看看
( u, T" W+ q; ]6 e哎。。先表吧
9 u2 R8 |& A' {5 e0 U$ Z& p$ b要先添加进库
& j! N5 N- K: n4 y0 a6 f开始猜账号密码了) R5 \, ]* Z* e' E% x4 j
我们==
* g# V$ ` O, F5 x心急的往后拉, {/ h! t& _( Q6 r
出来了, E' ^8 H4 N1 L: `# c' ?2 W
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120: h+ S" q) O4 ?& T M: I
对吧^_^
2 ?5 Z( P1 ~* [后面不说了
# @. I1 o% y; n% n: }NO2:利用upload.asp文件,本地构造上传shell
5 R, m, Q- S! Z- ]# J大家看这里
6 z7 W% i; ^ chttp://www.siqinci.com/ewebedito ... lepreview&id=37 f4 o8 u$ i0 B6 f8 a% [( K* ?
如果遇见这样的情况又无法添加工具栏是不是很郁闷5 F# T6 X- s ~- H) x+ X
现在不郁闷了,^_^源源不一般
* e% A' s" ?4 N我们记录下他的样式名“aaa”; \4 Z" T6 m6 E5 A
我已经吧upload.asp文件拿出来了
0 b _2 g" B" N我们构造下0 w8 i, O! k! L
OK,我之前已经构造好了' Q9 l z) ?" K* x4 A* t+ t4 @3 x
其实就是这里
2 b! g8 z9 G8 b4 i1 V/ }$ ^<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
~ }8 {+ x4 {<input type=file name=uploadfile size=1 style=”width:100%”>
]- }- D$ u+ o! m4 Y {. d<input type=submit value=”上传了”></input>
1 t- C( ]7 }) u5 L, D1 \5 p</form>
7 E0 W, Q2 P8 g下面我们运行他上传个大马算了8 L7 X2 K& z( c; ~, J/ G% \/ f
UploadFile上传进去的在这个目录下$ x# O1 i, n; r& H& v$ d6 R
2008102018020762.asa
) R9 w" V, J$ p: @, Z6 f- q9 r- h0 h. e# C( [3 W& W
过往漏洞:
( W; ~7 e# @' g: G( f
0 ]+ G/ _% g8 q+ ?; B# t% m9 D首先介绍编辑器的一些默认特征:
7 z8 V' F1 v) z, F默认登陆admin_login.asp
% s4 w$ y# S+ r6 Q) S9 K! h默认数据库db/ewebeditor.mdb
3 F# R }5 d% }* _. c# V6 U2 {1 I默认帐号admin 密码admin或admin8882 b( h# l* m) t) Z& b2 S
搜索关键字:”inurl:ewebeditor” 关键字十分重要
+ ?7 S; U" V! L. m3 G+ F有人搜索”eWebEditor - eWebSoft在线编辑器”) h* c; F& _) e8 r1 f
根本搜索不到几个~
% e: z" {: p9 Z" n# y4 A! O- pbaidu.google搜索inurl:ewebeditor9 T7 Q; H# V _; r
几万的站起码有几千个是具有默认特征的~4 R" _! I9 o6 ?/ R
那么试一下默认后台, a) t2 ~- U$ I; i
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp2 |& R. b( r6 H. C) n2 D
试默认帐号密码登陆。; k0 L* b+ ?7 g5 z5 [$ N
利用eWebEditor获得WebShell的步骤大致如下:
- O+ y; }3 V( }* N1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
+ k, h, U; a h, j( A2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
4 U" ~4 T4 b, }7 A* U" M3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
& t. Z* A& q# y; F6 r; @如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)! J, [$ M1 R' w; S& A" K+ y
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。4 T$ ?* E- k, [# {7 ~6 i
然后在上传的文件类型中增加“asa”类型。, ?! H) M0 I3 `- q1 R3 c0 T
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
% [3 t( e* C9 V4 Z d漏洞原理. F4 T' ^/ N* a0 r- K% \
漏洞的利用原理很简单,请看Upload.asp文件:4 Q9 V5 ^5 e' w: q) ?2 A
任何情况下都不允许上传asp脚本文件
! g) o1 q+ j6 p: H! X! n6 hsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)* D9 i- A1 X8 V! w! |/ x; M
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
5 C- ~/ L' n0 X" C高级应用- z; T4 C3 x& m; @
eWebEditor的漏洞利用还有一些技巧:) c, \1 h% H# p. M. Y
1.使用默认用户名和密码无法登录。
% d) r% b; y2 I* _9 L请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
0 d# I: o+ _. U. ~- e8 x* P2.加了asa类型后发现还是无法上传。
. \. V; j% r, n. D- Z3 j应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:( |2 c4 I, D! w7 p
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)* W+ o2 n0 r* R
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。! P C8 Q' R+ q) q5 W& Y4 E- b
3.上传了asp文件后,却发现该目录没有运行脚本的权限。& \6 s0 F) K- Z/ E a% Y
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。% j) w. ]! c' r
4.已经使用了第2点中的方法,但是asp类型还是无法上传。$ T8 }, N6 p$ t' q7 | A3 W; q6 ~, Y
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。" ]/ ^( k7 s! o: S
后记1 x# P0 J7 h. [1 {" {2 V1 S! Z4 x
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!2 [$ j, p1 Q" Z4 t
基本入侵基础漏洞
4 D0 p. _* ?' f7 p. ?1 c3 ^eWebEditor 漏洞
* {2 w8 w7 g5 s I7 ~. ?
8 b5 L) V" ~, d+ P各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! 1 E0 }8 m" V; k, [. A9 q+ Z, W- c
& h5 j% ]. x9 s6 ]' \漏洞利用
: A' O" I( c. p# m8 R利用eWebEditor获得WebShell的步骤大致如下:5 I7 g, X/ b+ E w* C' \% f
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
$ @: e, h- F1 P# @0 v" f) y, g) p+ Z2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。- q4 P- \1 g9 _2 J' j% a, W7 T
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
) T( O+ H8 J) v如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!7 Z8 v0 J4 W [* m" S
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
2 ~3 e$ R2 D) k8 a6 n, @/ Q: \5 u4 ^1 P$ p
然后在上传的文件类型中增加“asa”类型。
* N" E) l( u' m) ~6 _/ ^5 g
$ }, c% d* [3 y' J& j$ Y' g; P1 X5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
1 o8 D: B" e$ D7 Z1 v
6 h( A0 E' \7 B8 ~: [3 J+ G# i$ n+ K, i( |# F
漏洞原理
# S3 O) f# g, x b; I: c U漏洞的利用原理很简单,请看Upload.asp文件:9 \: o! x- I: q% \
任何情况下都不允许上传asp脚本文件- j3 @% K/ f# R" \* }. X& H
sAllowExt = replace(UCase(sAllowExt), "ASP", "")
5 ?* V% J9 k1 c- W9 o" }- P因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!* ?. f. _( [ N& ?
: t$ ?- \5 ^8 _" {% x
高级应用4 x' W; ^' I- X" ~% a4 O
eWebEditor的漏洞利用还有一些技巧:7 }3 D5 P( s& y, Z- J
1.使用默认用户名和密码无法登录。
0 r; j% u x7 n1 k, b请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
" d% q5 G/ O! Q: F2.加了asa类型后发现还是无法上传。# g8 T1 N- a1 b* N+ G1 X, c5 W0 G
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
; }3 W9 c/ f' M, E% ~1 dsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
* n5 L' S: d, t& I& \ d! Z猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
O7 m7 n2 G; Y+ @: R3.上传了asp文件后,却发现该目录没有运行脚本的权限。% d: V# _7 c( _+ V) Q
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。& u' ]$ ^6 \; a- u& b4 W; J" f: _( I
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
1 ~! r% r- F( n& X5 K看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
- X r+ J7 H$ X! M% J# r6 E2 _- y+ b. R* f' x+ D1 j& O0 \8 a
后记
" m+ f9 u. E7 z0 I" d根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对