算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。( |3 l. @) F( p! f5 X5 r% l1 i
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog3 R; @$ Z( u4 F4 H
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了& _; `# g1 ]2 S* y& `5 c' w8 {0 R
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
+ G4 J1 J5 h0 B: H6 v. ]/ d6 I8 t0 \5 w W. w) D! e! f
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
" v9 A. `1 z% T* W! \/ L$ Q属于安全检测漏洞版本ewebeditor v6.0.0
9 n; m3 F j1 r/ O" C( B# `
. R u T& Z& W8 x3 q# `. {8 d. a: E# i以前的ewebeditor漏洞:
8 N2 m: z) x O) yewebeditor注入漏洞5 M+ ?9 |- |0 ~! \& ^4 w
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
0 X5 }1 a' }7 L* q7 s. A# Z默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
8 q3 k2 y5 j9 y) k* q* E今天我给大家带来的也是ewebeditor编辑器的入侵方法0 P/ A2 L% f1 L/ q; e! Y3 j/ ?& [
不过一种是注入,一种是利用upload.asp文件,本地构造
& F6 a6 F0 g! \! U" |" jNO1:注入
( {) C- S' n/ Dhttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200$ I; u6 k, V/ C# K
编辑器ewebedior7以前版本通通存在注入. p8 b3 }; _7 w( u5 t
直接检测不行的,要写入特征字符; D4 m4 K: `7 Y% W
我们的工具是不知道ewebeditor的表名的还有列名
3 M1 N+ H" r7 p6 Y* G& u我们自己去看看+ m: t+ ~3 U8 p
哎。。先表吧
0 {( Y. j& I- Y8 ^要先添加进库8 r! D0 ]9 y7 v
开始猜账号密码了2 j. @: C% w& f9 k7 ^+ [
我们==
: a5 l% n* d2 ^& T& X* P4 z& S$ p心急的往后拉5 a3 U$ U$ _2 N
出来了$ x2 K" j& P2 h, S5 A& ^
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
+ G! u3 d6 K! Q2 p( N1 w$ {1 h对吧^_^
& A5 ~7 r' H! F3 ~ L: e4 v后面不说了& o* p1 M% [& i8 G
NO2:利用upload.asp文件,本地构造上传shell- ]3 x- y# H, D4 c6 [/ ?
大家看这里
2 x9 l1 H/ a7 X& E. D, ?http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37# z& b" f2 b1 f3 L7 L0 c
如果遇见这样的情况又无法添加工具栏是不是很郁闷 _+ j7 S7 k$ [! F7 t; F! y7 F
现在不郁闷了,^_^源源不一般1 y" B# r1 m, z6 u* B0 b
我们记录下他的样式名“aaa”) ~' S, Z3 e5 s, Y2 V# @
我已经吧upload.asp文件拿出来了8 c& [+ H! p3 K0 S, a
我们构造下
! z9 v. g5 q) ~$ a: Q/ MOK,我之前已经构造好了3 G. c) ^( C7 i. b" S) u
其实就是这里+ X5 F4 j* a0 \2 m; r
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>% o8 x. m2 C0 i8 o! V- ]$ ?
<input type=file name=uploadfile size=1 style=”width:100%”>
( E4 z) I/ v9 T5 J9 f<input type=submit value=”上传了”></input>
+ g$ V' B, L8 x" R</form>
3 }9 W/ k' `$ r$ H2 w6 V) D4 ?2 J下面我们运行他上传个大马算了
$ M7 Q5 j* Y KUploadFile上传进去的在这个目录下# w, H& Z8 S& d0 [
2008102018020762.asa5 j7 z, D8 S: `& u x1 F3 [
过往漏洞:6 ^8 Z i( L! \& ^6 p$ u1 Z9 b% H$ p
首先介绍编辑器的一些默认特征:
( e0 _ T" i; Y' ^6 l# v2 X7 Q默认登陆admin_login.asp E% d/ [3 ^% W3 J
默认数据库db/ewebeditor.mdb
/ `1 j! ^2 Z8 u! ~5 n默认帐号admin 密码admin或admin888
w; F2 y0 I: P7 L) r1 V; w1 C: Y搜索关键字:”inurl:ewebeditor” 关键字十分重要. |3 ~1 n" m+ M2 [0 r% @
有人搜索”eWebEditor - eWebSoft在线编辑器”
0 n( Q7 d7 r& k7 \根本搜索不到几个~ z" y' s; g7 j, z7 j4 v6 ?3 ~
baidu.google搜索inurl:ewebeditor
% L' l" I: @6 R2 i几万的站起码有几千个是具有默认特征的~$ g, ?0 l2 U* |& s5 R' }; R' C
那么试一下默认后台
' K6 J5 n* N# @% G- yhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp. O/ ^' x1 F( R2 ^: b! d1 |4 s& n* l
试默认帐号密码登陆。
) n2 T' v0 [, o利用eWebEditor获得WebShell的步骤大致如下:6 L1 x; f& Z5 P
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。0 C. ^: z) G% f6 q6 D, S
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
# e- F' r* a/ o2 c; G3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。3 C2 B) B; W! c; C0 L/ F1 ~
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
0 h6 A% o6 [! ]& t4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。* D! l+ _% B6 V: ^7 f8 R/ U
然后在上传的文件类型中增加“asa”类型。
$ [4 {! m# K( F) A: I2 Q5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。3 ?/ c! D9 u! [" E' \8 `4 G9 ]
漏洞原理) [8 q" v! @3 x; j, J, [1 R
漏洞的利用原理很简单,请看Upload.asp文件:
1 Q3 k; D" }6 `0 ^# v) Q3 ^任何情况下都不允许上传asp脚本文件- b8 ]! m9 y( k$ p9 P
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
! P/ v; Q* @0 L+ Z0 n( `$ N* y因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!( N0 T7 }7 a) D6 P0 K
高级应用
4 ?( \# L" N8 JeWebEditor的漏洞利用还有一些技巧:; R9 D2 i3 s7 _9 z! A: I; D2 e. W
1.使用默认用户名和密码无法登录。, y( {. n! H9 G! S& T- U
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
3 \+ r; f5 f% D" P' Q# H2.加了asa类型后发现还是无法上传。
8 }3 q# b& U c- r应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
/ B4 S2 a7 E6 g" x+ }0 s `2 e* AsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
/ e. n$ S9 D' A( B+ ?: T猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
7 C0 D0 n4 ^2 a4 C" g; d3.上传了asp文件后,却发现该目录没有运行脚本的权限。5 I! Q: a6 x5 x; R. w# S
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
# K" M/ P) |$ k" v7 H$ f6 l/ s% X4.已经使用了第2点中的方法,但是asp类型还是无法上传。
! ^8 \0 Z& w' G$ l3 q3 g看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
6 v& `; y' n' O* r3 S1 ] f& ~6 Y后记
0 E% f+ a$ |' j4 h根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!. [2 M$ ]# j f( n* V$ k* k
|
发表于 2012-11-18 14:24:49
收藏
支持
反对