算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。2 l4 o8 j8 m4 F, O& o0 e- P. T- s
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
. ^8 |$ a$ m Newebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了1 \* p. S) d$ n9 ^2 N1 ]' h
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址7 ?: a1 j. l7 p7 u: X9 Q
& j/ P6 E4 o# O由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
* D6 O8 i) K4 N+ C: [属于安全检测漏洞版本ewebeditor v6.0.0$ ]% H! l4 D. C/ D; F
& `; [- o& i/ p2 D% \' x
以前的ewebeditor漏洞:
5 i; p" F( l# p) Fewebeditor注入漏洞
7 J' s) ~/ O- J7 w大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
4 x6 L9 n: _' G默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话6 X V0 ]1 [% |& C
今天我给大家带来的也是ewebeditor编辑器的入侵方法
" h8 ?- l/ C2 e8 A. w$ w不过一种是注入,一种是利用upload.asp文件,本地构造9 @( z" l, a4 X- i/ P
NO1:注入1 r, v6 s$ ~5 _4 d0 a3 N2 F1 ]0 Z* f
http://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
& U c. w. N# b* y编辑器ewebedior7以前版本通通存在注入
* } Y# Q+ o4 c$ Y: T直接检测不行的,要写入特征字符
) Z+ u8 R5 z+ X9 i3 v" m我们的工具是不知道ewebeditor的表名的还有列名
/ o; u ?' z1 l我们自己去看看
: R# \3 l& q" o! u8 F哎。。先表吧
- Q- Q) K8 Z- |$ l6 ~要先添加进库
! ^5 Y7 {9 r, g7 a) \1 P) X# t( J% H开始猜账号密码了$ {& R9 {( @5 V* S ~" S$ p
我们==
9 F' F9 Q f- M. q/ R心急的往后拉
; ^: {) Z' ]) l: `! `出来了
$ W! L( Z; j T, B* D[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511209 l \1 y: \3 f5 `
对吧^_^7 `. c( c. @0 e) F( i
后面不说了" n( d: o$ M9 ?, R& o: |
NO2:利用upload.asp文件,本地构造上传shell
; s% D; O H1 r. H: [: Y大家看这里
# M) |; n. F, f# \( ?! Hhttp://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37
0 p0 |4 P% F3 {. b如果遇见这样的情况又无法添加工具栏是不是很郁闷' [3 ^8 z+ |' M- d
现在不郁闷了,^_^源源不一般: O ]9 I+ J1 x: l
我们记录下他的样式名“aaa”
6 `: n+ U& `% W* A& f3 a! H5 [5 f我已经吧upload.asp文件拿出来了
. B8 T; q, ^; e, M6 K3 I; p我们构造下: g7 a1 \1 `+ o) e
OK,我之前已经构造好了1 C" I" D, F+ o1 I: T/ R
其实就是这里& z6 I" D+ j, d6 y( j
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
% O+ z6 M$ V& l- s<input type=file name=uploadfile size=1 style=”width:100%”>/ U6 w: I: u2 `1 ]
<input type=submit value=”上传了”></input>: Z9 B) h5 ]7 i
</form>
; k( q: t; k$ _9 S下面我们运行他上传个大马算了% n4 E8 U3 ], O' q
UploadFile上传进去的在这个目录下
5 E d: d, _4 O+ V4 b8 n2008102018020762.asa1 j+ U8 g8 ?5 }1 V N, I9 ^7 D
过往漏洞:
8 E3 J+ }* U" \7 j首先介绍编辑器的一些默认特征:& V* \3 r5 R2 q% u" ^
默认登陆admin_login.asp" Z) ?4 b2 w% w2 I
默认数据库db/ewebeditor.mdb9 H9 O# t' z0 c- B- @1 i) P
默认帐号admin 密码admin或admin888
( U6 {, Y8 q9 O. F: } `搜索关键字:”inurl:ewebeditor” 关键字十分重要
0 [+ Y- p3 ~8 A" ?$ g" p+ p, U5 q有人搜索”eWebEditor - eWebSoft在线编辑器”2 l1 [4 g/ t) q8 |2 [- u3 y* S
根本搜索不到几个~$ T/ J* _! N( G# y2 P
baidu.google搜索inurl:ewebeditor1 {6 c [+ v1 T9 B1 L% u0 [& H
几万的站起码有几千个是具有默认特征的~
* ~4 z C, w X2 z# a那么试一下默认后台
4 f: H6 F" u2 h. P7 Uhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
- w1 Q+ `; Y" B9 v试默认帐号密码登陆。
; G8 u Q* d1 g利用eWebEditor获得WebShell的步骤大致如下:9 C' ^0 q. v j$ O2 _" m6 a
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
0 q3 s( d6 H9 T* b* ?2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。& D# p3 e4 O4 W3 [, m* {! j
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。2 g; d9 x/ F" ~2 J0 B! {5 u
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!1 Z% M' q. u# s. D: }
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。" m1 H! K( h+ @, F2 q
然后在上传的文件类型中增加“asa”类型。 `/ K: m4 e- T: S0 p. B
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。) E8 V* n3 F! ]4 }+ V
漏洞原理: N R3 }1 k5 M% M
漏洞的利用原理很简单,请看Upload.asp文件:' e# o1 r0 P& u" k6 d8 ]4 Z
任何情况下都不允许上传asp脚本文件
% q$ R' m$ d6 ?9 E2 c9 \5 OsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
- U$ X4 M* t, Z7 _ n& F# o因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
8 T: ]& C* u5 A! a' d+ O' e! [高级应用 e# k; J) u7 G) ?4 v; G' D
eWebEditor的漏洞利用还有一些技巧:
+ V- X: S; a$ C2 R5 U! u0 ?& n1.使用默认用户名和密码无法登录。6 z1 Y! ?2 d4 w# Q
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。 \3 `" t w/ ^9 b& N, K
2.加了asa类型后发现还是无法上传。
e: P$ V( y1 @) }2 K5 n应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的: |4 G. \) G& n, c& j& { T9 g
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
" Q& ~. _) ? t' Z猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
+ z3 p$ c$ P& R2 R5 k3.上传了asp文件后,却发现该目录没有运行脚本的权限。
: U5 K2 j9 j# a e: `+ v呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
1 R) u" b& `* J* A" M: O, i4.已经使用了第2点中的方法,但是asp类型还是无法上传。
+ [0 }" Y6 m2 E* N; l/ r$ U# {看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
5 f& X8 g0 W& ]4 a# ^/ _8 C后记
, J ?3 ?' A# F3 ?: P) K根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!7 i# q N$ a( U& t+ S
|
发表于 2012-11-18 14:24:49
收藏
支持
反对