eWebEditor.asp?id=45&style=standard1 样式调用
$ B" E9 c9 W, \+ n* w, F9 c7 m" W/ H. O2 ?3 I; O' m' s" J" V
0 c( b" T% d* }- a/edit/admin_uploadfile.asp?id=14&dir=../../..
: `: [' C2 j4 p" }; e' E6 Z可以浏览网站目录 ../自己加或者减
% l: p6 Y0 M! x# B- P" W
0 {2 @% w2 C, V* E9 ^有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞( D* B" z" _' H: j
简单利用就是$ R" {+ b4 b; E! ^& x1 w4 O) \
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
( A9 T& A$ m+ |7 qhttp://www.siqinci.com/ewebedito ... amp;style=full_v200
$ V8 ~6 H1 b5 \5 K" T$ n可以利用nbsi进行猜解,对此进行注入
" } w6 O: Z8 G! A- U还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
; s7 k9 U/ q; {5 u7 j3 ?这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
) y( d* Q$ l5 m& s8 f" f在action下面
8 p/ O( q$ a2 a1 ?& `<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
+ M+ c# z. }; A. z# n) x( Q<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
J; @% _8 Z) m- {( U: J<input type="submit" name="uploadfile" value="提交">
9 y! K2 t+ E O7 y- f<input type=hidden name=originalfile value="">1 X/ z, F ?2 f _9 |! X
</form>2 {4 t% `# L2 Y5 t* p# `0 Y1 z8 K: k
------------------------------------------------------------------------------------------------------------------------------------------------
6 c3 f* C/ t# H# V8 ^$ M% X& W g; j<input type="submit" name="uploadfile" value="提交"> 放在action后头5 L8 l: T j4 W
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
8 J/ c! i/ t8 z0 d: ^1 a7 ]$ J" o' j. k* G7 l
) r- r& N! x3 z9 `4 [
5 W5 o" p) Q; R8 L# e
6 o, Z% \4 |3 S8 r: s7 z0 iEwebeditor最新漏洞及漏洞大全[收集] (图)3 P: C+ F2 K" c" ]; |2 r
本帖最后由 administrator 于 2009-7-7 21:24 编辑5 b& F& u8 E4 Z: U8 T, A
A+ e3 g( _) F+ u" M: t以下文章收集转载于网络
) s+ \ \8 g, w4 ?2 u5 i+ h#主题描述# ewebeditor 3.8漏洞[php]
" B2 A7 g& Q) l3 B. e6 R, T--------------------------------------------------------------------------------------------
W) ~# y A1 ^$ G& z#内容#
( n5 Z8 L) }) i: \4 Uphp版ewebeditor 3.8的漏洞
# I$ v# _+ ^+ T9 x: Z$ }; E5 `9 Ophp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
& |# \, a! d9 n0 R1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,' d, H: O( m3 c ^+ S: K
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了2 J/ k! a1 N+ r; A9 m( O+ j6 P) N
3 后面的利用和asp一样,新增样式修改上传,就ok了
' Z3 T+ c2 p' C( e+ D0 a& v测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
- Y+ R; Z. W4 q8 Xaspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell: }6 c0 B' O6 J& |5 \8 o9 Q
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
& H. x: v2 A/ U+ P8 J N2 {8 o$ e--------------------------------------------------------------------------------------------+ s0 l) X2 h% ?/ T8 c/ ~# q; |0 k
' h3 v1 d' ~/ I4 [2 i! ~0 E
9 K2 t) l; |- F+ I
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。& R" U, G3 {( i, R$ T
; B& k8 x$ M7 @6 J$ ^
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog* X) e% J/ O4 `& v, |/ B
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了: g `( E8 V+ h, G( o
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址( m* m, ]7 Y1 O4 C- B
& H ]0 r- y) G. [6 h; t) O8 B J/ W& G; j( h3 y. N2 _
然后确定以后,这里是最关键的一部!
2 T) Z- ~ Y& W- e这里点了远程上传以后,再提交得到木马地址 g# E6 m$ H) ~1 t/ q3 r
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
2 |. i$ T- _) j9 r2 W+ o R2 P属于安全检测漏洞版本ewebeditor v6.0.0
, ^, R5 m+ m' j7 j( A& @ \5 f; c5 m0 ?& R* q" w$ b5 E
以前的ewebeditor漏洞:
7 q8 j. ~# I$ q, r& B( d
+ S8 _. {+ h6 ?/ w8 Lewebeditor注入漏洞8 H, \4 Y1 p1 R$ O6 i: f& n* B
0 H0 _ w, G- E6 \$ m5 D大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb2 p7 i8 }: B& y9 E( L
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
# f% h$ y( W3 e3 s, {今天我给大家带来的也是ewebeditor编辑器的入侵方法4 r# K6 {/ W/ c+ ]
不过一种是注入,一种是利用upload.asp文件,本地构造
- D- [( V( `; a) l: JNO1:注入) s4 V; P' l \0 B. o
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
! m E" y6 ?6 [) M! |) D9 w编辑器ewebedior7以前版本通通存在注入6 ]7 m" ?' h( C3 f. |; }0 H6 j
直接检测不行的,要写入特征字符' r; J& ~/ V* O0 F% L. h
我们的工具是不知道ewebeditor的表名的还有列名
) Q' C- o5 L. [ j: R% S我们自己去看看
! @6 Q, \+ h7 V6 P6 X9 V哎。。先表吧
* `% d3 _2 ?, _) P7 y. e% c* y$ G要先添加进库
8 x) l7 n2 O+ y8 n: g# M7 f/ f* I开始猜账号密码了$ \# J6 T, S& s7 h" p
我们==7 ]$ x/ L/ Z2 _& M8 J/ q: `
心急的往后拉5 J' i6 c& \7 Z& Y" I
出来了" h- C, {$ o$ ]+ ]
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
( t; n; |! V+ \2 L1 ]对吧^_^
8 y! O- o6 S( m4 `+ o$ K: S3 r* z( T6 m后面不说了
( P! I' N( y8 r8 R5 ^4 F7 BNO2:利用upload.asp文件,本地构造上传shell4 k. E- u8 F1 W/ d7 Y9 z1 r
大家看这里
) C W" t. ]8 J7 N) P$ Jhttp://www.siqinci.com/ewebedito ... lepreview&id=37* p* h$ |& ]! F& w: I8 f
如果遇见这样的情况又无法添加工具栏是不是很郁闷
0 m8 u: X( I" k4 C9 {* e+ i现在不郁闷了,^_^源源不一般
% f% C. c& V% ~$ P f7 _我们记录下他的样式名“aaa”. l7 ~( f \0 k$ H0 w" j
我已经吧upload.asp文件拿出来了2 z B: J7 V' a- d# ~4 X: d+ h
我们构造下
F) `- T. N. l% ~OK,我之前已经构造好了4 I1 k4 A% ~" H% V9 u0 {
其实就是这里
L9 H/ ~& x3 V- q" }% G<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
2 x; Y p2 q& Y k _" H( H<input type=file name=uploadfile size=1 style=”width:100%”>
3 h1 t. u1 Q, d7 D% s3 e<input type=submit value=”上传了”></input>
* T8 W! H- s1 I8 H% N</form># F+ O D& B D3 K
下面我们运行他上传个大马算了' O9 M' d$ Z. J% @. S* O; x5 e
UploadFile上传进去的在这个目录下+ Q8 V; q* K. [ s
2008102018020762.asa: F, y6 B& o6 ]" b! \
8 L$ G& Q4 K7 F/ C. f. _过往漏洞:
8 l4 d" d A3 G% {) C5 p
( Y* s& d! c- Y1 b# z首先介绍编辑器的一些默认特征:; `1 S! Y: `" s6 A& H. N
默认登陆admin_login.asp
) y3 O% r6 x0 Q& z+ V B* h默认数据库db/ewebeditor.mdb
$ E. [7 i$ C% X, S默认帐号admin 密码admin或admin8887 T2 P0 c6 Q7 P( A3 m9 R
搜索关键字:”inurl:ewebeditor” 关键字十分重要+ A2 p0 k4 a) [
有人搜索”eWebEditor - eWebSoft在线编辑器”
4 ]/ J& R* r' u, O- ?根本搜索不到几个~+ p$ O5 S# r1 g/ L6 m! i: C: n# a
baidu.google搜索inurl:ewebeditor+ Q3 z- @( Q" J" {$ R" r
几万的站起码有几千个是具有默认特征的~# @% L* m: g4 w- h9 Y7 S
那么试一下默认后台( Y C. \8 U4 x; Y8 e
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
# L* U7 @6 |. r; y试默认帐号密码登陆。
& `- }* b w! L$ y8 {利用eWebEditor获得WebShell的步骤大致如下: E* X, H" {3 L6 ^
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
W, u; f) f x- K6 ^( f2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
2 c0 Q8 k h9 o4 F: q. ?- F" t4 ]3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
( c( Q9 m7 ^" h) v) _. h如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!6 l' g6 T8 X( K1 g# L z7 D, ?
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。4 |1 S; s0 C) W0 R2 I& w: }
然后在上传的文件类型中增加“asa”类型。' R0 R( _. h: [/ [: Z
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。1 ~6 R$ p0 v. T: Y1 ?
漏洞原理
7 ?3 c/ H& X. n; T5 I7 ~3 ^: E2 p$ D漏洞的利用原理很简单,请看Upload.asp文件:
& r- a- f" J; Y; e任何情况下都不允许上传asp脚本文件% C) q4 V# L! H, j6 f- `- @
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
; _( M& \* ?% {( i因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
( M- d& c+ S) D8 ]# L5 ?- m" q0 c高级应用
3 c: o! [0 B% ?; A; {; eeWebEditor的漏洞利用还有一些技巧:" a, I* v. M6 y. O( y+ @1 [
1.使用默认用户名和密码无法登录。
. l( ~# c1 E# O) d' T0 I: @/ x请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。- {. f3 Y; o& q4 H, o+ k
2.加了asa类型后发现还是无法上传。* g- q+ w9 C+ M$ r) P C" j
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
0 C. ^3 z, K6 ~* @. ssAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
0 p1 k( y7 q. e7 c8 c, @猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。0 U1 k O4 V. n) v; f& o1 r# \2 F
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
2 W$ K' C& Z0 K呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
. ]) F( F v2 w) J0 u$ K4.已经使用了第2点中的方法,但是asp类型还是无法上传。
- [- b& M4 {" |! k看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。% o8 o1 _: }+ R( g( A
后记
! b! D" k4 v. o1 ~, g' A; V, I根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!; B' Q+ m: R5 c+ v5 |7 R
基本入侵基础漏洞
: k. d0 P6 Y. seWebEditor 漏洞$ O7 A5 t3 _5 y6 b9 N, b. Y! I
9 S, P C5 C9 v" T. p& h各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! & p7 B& d* X1 N
# }- n4 P, v+ T I漏洞利用2 e R% R& r& ?) Y* I
利用eWebEditor获得WebShell的步骤大致如下:
. m& g# L" i) x* l% Y/ G' L1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
! t0 o9 t+ w, _. z3 b4 i; h2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。! A: g+ z$ I# F' h
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。! O. v3 i B# \! O' Z! s- [! {
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!. o( |# q' {6 a6 ]3 F' n
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。4 q/ ~4 H3 {$ g6 O# q" |% A3 T
" m& B) h, J7 X& g: i) Y+ g. [" { F
然后在上传的文件类型中增加“asa”类型。5 g( k7 R) z) e8 ?/ K
/ G; I. {+ U3 J* x+ x
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
4 O$ _/ Q" y7 D& M2 V9 W4 R; u& Z/ n _! ]" X( D+ H
' u# J# V) w/ p) |5 ~
漏洞原理
+ U% b; Z1 S, R) K. e& \漏洞的利用原理很简单,请看Upload.asp文件:' ~0 N4 A I: V
任何情况下都不允许上传asp脚本文件
6 m' E! u* `6 V5 W4 {4 ?sAllowExt = replace(UCase(sAllowExt), "ASP", ""); l/ L7 ?( f6 d. `5 `' I
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
! f; d, H/ x2 y' A5 o
( u0 T* F1 r I高级应用
1 f, \/ C1 Q4 D" Y0 o5 h, j6 |+ ?# qeWebEditor的漏洞利用还有一些技巧:, }8 L4 r! k, ?' D- \
1.使用默认用户名和密码无法登录。 g* p1 P6 K" K: A) E( o: s, ]
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。7 k. w7 `2 O3 h# m4 c
2.加了asa类型后发现还是无法上传。
5 a3 G$ c. [6 V* P$ M! T应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
+ r3 A& S+ s0 w3 H* u5 qsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")* N0 J) ~9 k% q2 Q+ |) f
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
, D2 \! c0 I, J7 C3.上传了asp文件后,却发现该目录没有运行脚本的权限。- q9 o) [' l( m8 k. z8 W/ u) ]
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。5 a8 i$ K ]4 \( Z' a% `" K1 \( ~3 X! d- s
4.已经使用了第2点中的方法,但是asp类型还是无法上传。7 N9 u& A% Z! Q' n; Q$ y& n1 A/ A
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。" D. a% @" q) L1 o8 X
; b/ l) L1 R9 U# d* f, o
后记
/ y. }1 I. S0 _; K! F* H" y根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对