eWebEditor.asp?id=45&style=standard1 样式调用# ` H1 g$ D+ l: z
3 t, D) g. c9 C
! }% j- j4 H1 |4 X8 w' {/edit/admin_uploadfile.asp?id=14&dir=../../..
- r& Z/ y: h; d6 B可以浏览网站目录 ../自己加或者减
; L; S6 z/ O: _. \. _) y
( U$ E' {5 O$ v' f1 y2 T有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞& S# l+ n& W* u% _8 C3 {0 I
简单利用就是1 F: U9 R0 W0 `* Y
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v2009 ^$ g4 @) U$ C: h" ?
http://www.siqinci.com/ewebedito ... amp;style=full_v200
% r7 z/ O- {5 c( g) G5 Q可以利用nbsi进行猜解,对此进行注入$ a" E- ^$ J4 S/ m/ S2 i
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的' M5 W* M b N: R
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
& V$ b& i* R0 w8 Y! n在action下面
( d# I( e2 T. P6 F0 G<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
/ ^/ {& c; \9 J+ n/ m7 x<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">2 N* s( e% j0 q7 P4 e7 H% @8 r- Y
<input type="submit" name="uploadfile" value="提交">
. w# o6 D2 c% ]$ A) n. j<input type=hidden name=originalfile value="">
& h0 O1 b0 C) ]( x: c" @</form>
: h* p" A/ m* I }------------------------------------------------------------------------------------------------------------------------------------------------
1 s S2 m4 A( S0 @7 j$ c( j. I<input type="submit" name="uploadfile" value="提交"> 放在action后头( ?. J& G1 t4 g5 ]4 |1 w2 B
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
7 X8 ]2 j0 A+ U \5 E& u, ?" q- L3 H
6 G( |! W3 A# f8 K: t( M' f6 F) x+ \; ?$ @
* w3 s0 i5 e! nEwebeditor最新漏洞及漏洞大全[收集] (图)
{/ x) \0 D% r本帖最后由 administrator 于 2009-7-7 21:24 编辑
% E$ a4 u# u0 y4 S& Y& E( }( o% G* s! E5 z' w5 e
以下文章收集转载于网络3 w- n, G3 U: t7 p) \1 S8 {
#主题描述# ewebeditor 3.8漏洞[php]
* v, }6 l, D* ?% Q8 k--------------------------------------------------------------------------------------------% N2 q: r H3 b% x2 ^6 ]
#内容#
: b9 m6 v, {9 D2 |php版ewebeditor 3.8的漏洞
6 Q3 n, F" A. C1 {+ Wphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:9 ]. q! M7 o$ X) f. j
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,2 u1 P1 w2 P& q5 g
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了3 `* e3 G- |# p0 C
3 后面的利用和asp一样,新增样式修改上传,就ok了7 D) n( _! j3 l U( o8 {9 \
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的), i8 K% _7 K; H
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell; |* K6 ?% m s7 r2 k0 h) r
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
/ i8 d4 h# ^5 S4 O3 m6 V--------------------------------------------------------------------------------------------
" U5 L8 q m: [# B4 h, e
9 |6 c4 Z+ X* d N8 _% i6 D4 r* ]( J
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。7 D* a) x" ?. [
) f+ C. i6 K- n/ Q+ G
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog; d' }7 y1 `, L6 r
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
' T. d3 a* N A$ U# f2 ^' s那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
0 P( m+ f, }4 y4 m
5 |% \. e+ y, K* O/ E, l! i1 Q# W7 @6 ]; s: J. ^2 j2 P" T
然后确定以后,这里是最关键的一部!
2 S v$ [8 W' J这里点了远程上传以后,再提交得到木马地址
* K2 n* L4 O1 |; V由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限9 S; ?6 c2 L7 V- w0 _! l& v# I: h
属于安全检测漏洞版本ewebeditor v6.0.0
% s; {, y0 d, _/ a
3 b3 [: o! m2 |5 q; i3 I以前的ewebeditor漏洞:
& b0 r& P$ g1 p* M+ r
! W- N3 t; W1 gewebeditor注入漏洞
0 c8 @6 A" f; ?# k# `4 m
/ f0 a4 a2 K4 w/ F7 y$ V! `9 r; g大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb% ?1 p. L- L, L( X, E
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
e7 w5 V( r$ f" L) S% x# R) I5 w今天我给大家带来的也是ewebeditor编辑器的入侵方法
( A2 l% ?; Z/ @; O+ m不过一种是注入,一种是利用upload.asp文件,本地构造
& y0 T5 m/ y8 w- W; a& GNO1:注入
2 N; z$ d' ~# T7 ~5 }: Q; chttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200$ l! k4 _* [1 ?! h
编辑器ewebedior7以前版本通通存在注入3 Z7 B8 `( t: J! f+ D
直接检测不行的,要写入特征字符1 n# G9 R" ?% h
我们的工具是不知道ewebeditor的表名的还有列名
! P1 I9 ~+ H5 Y. r2 q我们自己去看看' Y4 s/ W( o! r! F) t
哎。。先表吧/ f, z8 c/ ]% a/ [
要先添加进库
, s2 V+ W0 ?. Q! @2 u# J开始猜账号密码了
, g1 b9 f& ]$ d$ V' o1 u我们==
& N- ~6 |- U6 i心急的往后拉4 C3 A- P4 p+ g8 C. w
出来了* r4 y0 Q5 w4 k# h* {: }
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511208 V1 v* k5 k3 r
对吧^_^2 S" I& @' v5 K* e4 T$ @1 T
后面不说了- x, e5 Q# C: l+ q. k o8 T
NO2:利用upload.asp文件,本地构造上传shell% ~1 E8 M/ s/ V1 j+ t
大家看这里1 `& L1 F3 v4 o- f
http://www.siqinci.com/ewebedito ... lepreview&id=37
2 a; r" v& w; [) w如果遇见这样的情况又无法添加工具栏是不是很郁闷. O% T" k" c) j7 I) ? ^3 ^8 \" m
现在不郁闷了,^_^源源不一般
3 s( p g. g. S2 ^& M$ d$ ?# n% M我们记录下他的样式名“aaa”' w Q3 ^1 [0 y/ F; k
我已经吧upload.asp文件拿出来了
# ^/ o h a$ z! |: Y我们构造下
, {% D6 |- w3 Z5 sOK,我之前已经构造好了
2 F. W- m, c% [2 @6 m" c9 n, V" f$ @其实就是这里
, m6 k# V p) O; X3 n<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>" L. M( F: T# Y, ]
<input type=file name=uploadfile size=1 style=”width:100%”>
3 P$ [2 T6 h7 N9 g( \# \<input type=submit value=”上传了”></input>) z! v( C8 \/ P! x
</form>
( D! X! _% g9 P$ k5 s; L& h+ ]下面我们运行他上传个大马算了$ }4 K* ]8 \0 T$ c4 n# \* V
UploadFile上传进去的在这个目录下
0 r0 J6 q: N# R4 |6 F9 C2008102018020762.asa/ I8 u+ M! }/ C' {) o; [! C
" G& |% W2 F: E, p0 q
过往漏洞:" y+ F0 R& V# _3 Q% M, l2 j* L
A. q0 w7 [6 ]2 I: \: p5 `
首先介绍编辑器的一些默认特征:
5 `& s9 {9 {- U5 O默认登陆admin_login.asp
$ y; B( U9 x4 C9 ]默认数据库db/ewebeditor.mdb
/ F Z( B' x ` e5 U& q2 a8 l! Z默认帐号admin 密码admin或admin888
; g8 I# n7 n, | ~搜索关键字:”inurl:ewebeditor” 关键字十分重要9 E* q9 F( A- g7 T! w/ t# J
有人搜索”eWebEditor - eWebSoft在线编辑器”
' t/ m0 n6 H& `, j6 ?, y根本搜索不到几个~ R' ]7 R4 n3 |' v- k$ z
baidu.google搜索inurl:ewebeditor" b7 \1 e1 X: o$ ^' U
几万的站起码有几千个是具有默认特征的~
2 Z' A5 B0 S% r$ c那么试一下默认后台 k6 m+ U# ~# ?
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
0 ?( {/ j q6 t% J; i试默认帐号密码登陆。
+ K0 k/ N- x9 {( t) X: @利用eWebEditor获得WebShell的步骤大致如下:
% S8 |/ X$ v4 m: s0 ]0 J6 }1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。+ V+ F5 z& n8 Q; |0 E: S" l" E
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。+ h) F8 I2 B" Y% D! J
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。: w/ Y# g2 w Q2 G5 d
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
6 \" s3 o9 u" k* z* b0 g7 F4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
2 N+ |) t2 L0 a) E然后在上传的文件类型中增加“asa”类型。/ B- L g2 B* {1 {" ]0 w
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
$ l+ e, A$ n& e- S漏洞原理
7 Q3 _& Y$ q1 R/ j, {& b2 d! Z- N漏洞的利用原理很简单,请看Upload.asp文件:
4 V' ?' T* f/ d- m, \0 q6 L任何情况下都不允许上传asp脚本文件
! z+ B7 c+ M3 \& X; esAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)3 H+ A0 x0 U$ |8 V: A' K, f* _
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
6 w( `, H n' D8 h* t0 O高级应用
6 ]8 {4 z& E' o& C% e+ Q6 b" ~( |* `eWebEditor的漏洞利用还有一些技巧:
+ c' J: J2 P0 @1 p- Q; V2 Z2 I1.使用默认用户名和密码无法登录。
+ M- j5 n5 p6 r" c+ w9 J请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。7 |) |- ?1 j5 g9 }8 b( h$ }9 S
2.加了asa类型后发现还是无法上传。
" P% c6 L. v; k2 d6 z- B应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:' a8 B8 f" F7 }; B; z
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)8 y1 x4 X' A% {5 L* X# M
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
3 y# ~9 b' {1 t" n5 u3.上传了asp文件后,却发现该目录没有运行脚本的权限。
: G$ S4 G# }6 d0 t) {7 i呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。, c/ Z, r9 Y# S* t; S6 j. S2 @& M
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
! K0 t4 Y. O$ j: s! [& [看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
' ~9 C( P( [ S' _后记, }/ N/ _3 j+ y' P2 n
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!- } p4 a0 f( }- M" M% p- C2 t( w& R
基本入侵基础漏洞0 a8 i' Z0 ~2 m9 K) M& N
eWebEditor 漏洞
+ d4 H9 Q; S! @
! z/ n) n" ^2 T8 f" r* B4 d各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! ' n$ ~* j1 {$ F; u
' K8 k, t! Y, q1 R8 H5 x3 E: z
漏洞利用: A8 f$ h7 |, X
利用eWebEditor获得WebShell的步骤大致如下:
* l3 N0 T+ q' v6 f/ w6 T1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。) i2 E! m7 L' K/ `1 K7 z! S
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
7 }2 e2 K: u& a$ I# ^3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。, Z* @5 x7 y5 W
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!* z# b8 @# ]9 x) R) G: Z
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。6 O5 o8 ^* x/ ?/ t$ X% e
4 b2 x0 |( T, t$ l5 I/ U然后在上传的文件类型中增加“asa”类型。1 [+ F" K/ C* t, R! W2 s: ?" E
: F8 |8 X3 ^0 [ o5 J. c5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。6 B E5 x' V1 B* }& |% u( t
! \6 T* w3 p& A( O2 J; A; w2 A5 [3 I2 m+ k3 r8 w3 K
漏洞原理# X. x& Y1 t* v7 F+ j3 R" w
漏洞的利用原理很简单,请看Upload.asp文件:
% H# U$ p9 ?, W# O: ]任何情况下都不允许上传asp脚本文件
! r+ ~6 `0 R$ \2 c) ?sAllowExt = replace(UCase(sAllowExt), "ASP", "")
, H* i, B) G9 y- ~/ D/ [因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!! B9 z& s) t6 A, x$ J
0 x3 ^0 p' d( V2 e0 J v( J4 T- H8 p
高级应用
9 ?1 Q! r7 K$ ^) P$ J( _" `eWebEditor的漏洞利用还有一些技巧:1 h+ \. ]7 h$ ]5 y( f) V$ C0 I
1.使用默认用户名和密码无法登录。" }9 z% J" Z' h2 n) q
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。, T* a. X7 d( T! ]( N3 q
2.加了asa类型后发现还是无法上传。
$ M+ a( Z0 F& ]" d0 u应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:' X9 n1 S) n8 q' l' k c1 U9 F: F
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
, {' K' Q, h- m猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
+ m+ e- j& H" p$ O& ]" u3.上传了asp文件后,却发现该目录没有运行脚本的权限。# |1 [1 @& N0 ` p2 N
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。) l/ t( ]3 |, X8 Y* w; I
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
2 [0 f3 F+ s. J, J+ v4 z看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
1 l- v" O+ L3 @- ^2 q+ P/ ~& F. r' o
后记1 j! R. e7 _$ S# z& |6 g3 @. n
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对