算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
/ t" `! h* Z$ h8 r; w漏洞更新日期TM: 2009 2 9日 转自zake’S Blog% v, j2 D5 Y( C
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
9 o! I0 i, \1 z* J& T6 i那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
9 Q; x; C; H$ u+ ]6 Y& q! U/ K& p+ s- U$ h6 [
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
; V9 K" j: O0 D* M: B3 B+ Q属于安全检测漏洞版本ewebeditor v6.0.02 O% T; U5 j2 e
! q" v2 h6 n; k: A# B
以前的ewebeditor漏洞:: X- v9 w8 P' s- d! X
ewebeditor注入漏洞
6 M0 ?7 J& T8 v( U; J大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
2 o$ i/ ?- V; C3 o. l8 T默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话9 ]8 `; F6 e- s& X0 j
今天我给大家带来的也是ewebeditor编辑器的入侵方法
; F; p! w% r) N2 k7 Y( u' h不过一种是注入,一种是利用upload.asp文件,本地构造
) K9 R8 r5 P1 d6 _NO1:注入" }& w) J, r+ i
http://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200. a j+ R Z: o9 y. \; R
编辑器ewebedior7以前版本通通存在注入
9 H, u/ R. V0 B8 L" h5 X直接检测不行的,要写入特征字符' n. c! p% M1 S! s1 @. f
我们的工具是不知道ewebeditor的表名的还有列名
; y, t5 z. c& E! C' v+ x, C6 a我们自己去看看- a! }8 f6 J( Z
哎。。先表吧
2 |* y5 I( q( w5 d" R1 Q, v要先添加进库. ?, e( T) N) a- X5 c
开始猜账号密码了
% f4 Y% }* ^) k我们==
$ k2 c0 P- R6 S: {心急的往后拉
1 v) R2 J4 I! L) p; O+ e7 M出来了3 l$ d# a. W; k1 V6 G( a$ L
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120- ~& C2 p1 w* p. C/ @) v& q
对吧^_^" U, M! y0 i. t" l$ F4 m: G
后面不说了
* ]$ g" v4 [, e* @NO2:利用upload.asp文件,本地构造上传shell
& {" Y `' ^! D3 `+ ?6 u |大家看这里
8 e; s9 Q3 @% \0 thttp://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=377 h5 Z+ c# o! H9 m
如果遇见这样的情况又无法添加工具栏是不是很郁闷! ?. T: i! R$ _. E+ ~
现在不郁闷了,^_^源源不一般
" C) }1 [6 Z0 `! j我们记录下他的样式名“aaa”
( i, e& q9 }" B/ s6 _. E- F S$ o我已经吧upload.asp文件拿出来了' o! P7 B* T3 X" i
我们构造下
, K; t) B$ [# |9 }# WOK,我之前已经构造好了
8 F) I9 k+ Z3 b* M& t" ?, n) C其实就是这里
, V& @# d- M) x/ g U<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
4 @; i2 @1 `% ]: s' o<input type=file name=uploadfile size=1 style=”width:100%”>2 ]& ^8 N; w3 E
<input type=submit value=”上传了”></input>
5 a- j* E. y# g+ t" K/ t* e</form>* [% A8 i% F) X8 ~8 w! g* L7 A
下面我们运行他上传个大马算了3 M" O3 ?) }; \
UploadFile上传进去的在这个目录下% q. E, j1 R N. C* R5 |; M# l. ~, l
2008102018020762.asa8 R9 d2 a9 l) ]! D" G9 F: q6 C2 I2 Z! Y
过往漏洞:
+ i% R$ G( B7 l5 D首先介绍编辑器的一些默认特征:
1 v. X& j/ F0 s# U$ V默认登陆admin_login.asp+ H7 ?2 B+ g S- o/ M. b+ `" @
默认数据库db/ewebeditor.mdb! s7 \8 H: z$ F
默认帐号admin 密码admin或admin888
2 R2 O* t0 V/ k8 w8 O% F/ ~+ i4 z& M& q搜索关键字:”inurl:ewebeditor” 关键字十分重要
" J L* P0 J8 _4 e! [4 ]有人搜索”eWebEditor - eWebSoft在线编辑器”: N/ L/ g: L. D" o6 r3 z
根本搜索不到几个~
) U/ l2 i$ _" u0 y# x( _baidu.google搜索inurl:ewebeditor
' T% s d6 Z! M6 r1 s几万的站起码有几千个是具有默认特征的~
. }- G1 H0 Z5 d& u4 D1 W+ e5 R+ }那么试一下默认后台, { w4 Q1 G, g7 Y3 }8 ?
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
- x: [ M1 c4 Q试默认帐号密码登陆。/ M1 `: C; _( {3 |& D
利用eWebEditor获得WebShell的步骤大致如下:- I( `: E% y% T z" j! C5 u
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。 ^: w2 l4 |8 {- k8 s7 x c
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
& Z% @5 k) k' d4 z2 y3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。- N! j: d, M. E! `. j
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
% T m# t U: f# L4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。 J4 E, a' J" }4 h; r; [
然后在上传的文件类型中增加“asa”类型。2 i7 P# z; M2 z, ^$ ^9 ^/ ]* I
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
j1 s7 Y+ s9 P" _% O; b' V漏洞原理
1 y" a; t) P p漏洞的利用原理很简单,请看Upload.asp文件:
( O, r6 y2 K1 G( w任何情况下都不允许上传asp脚本文件
0 g' y4 Z5 j. @3 dsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)" }/ N) b. _$ d$ E
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
; |: h) U" J7 r5 e7 W& {2 M高级应用9 u8 ~6 M/ @3 L4 k5 O: R
eWebEditor的漏洞利用还有一些技巧:
0 W3 m& W! O3 j( T2 n1.使用默认用户名和密码无法登录。* ^1 m6 Y4 I5 { G5 @
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
5 U& Q/ m7 V9 }1 O2.加了asa类型后发现还是无法上传。) W6 t# q5 H3 a; u6 K1 D2 s. v+ E
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
' C+ P; e7 I5 t0 \) qsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)8 a8 y4 I- S# _% v
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。/ S/ W) u6 J% H: J% Z+ l4 l, m7 v) b
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
2 U' P, L) d/ s7 ^0 d0 V, N呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
% a) f* T) l6 C( ]5 M$ H4.已经使用了第2点中的方法,但是asp类型还是无法上传。7 S: B* d. ?( o) k% f+ H+ ?
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。# D ], q. X1 N" O7 Q
后记
- T" j+ l4 S1 P: y2 i! Q根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
7 D1 I: y G9 T/ I |
发表于 2012-11-18 14:24:49
收藏
支持
反对