算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。0 G# s" r( Y' N: N* ^7 l
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog7 A- l( ?& V: a
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了. ?: s- q9 R2 l, B& }* O! n
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
' L6 S- g8 f8 Y! V. U9 ]9 A( u
( S h" Q8 O* `由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。' h5 H$ {: k* N" ]0 b- O3 \
属于安全检测漏洞版本ewebeditor v6.0.0
) J [5 W+ {5 O
! |" T9 ?! u3 X! H以前的ewebeditor漏洞:
8 F" I% x' q$ H9 N& q+ f1 Bewebeditor注入漏洞2 o; ?6 o+ H& w# d9 _( ^
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
5 V5 K4 V9 }8 j2 \ Q* P默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
& C3 L* i; i" L7 O; C; ]! p今天我给大家带来的也是ewebeditor编辑器的入侵方法
' x9 m& p" z" `" g: A+ M P \+ Y不过一种是注入,一种是利用upload.asp文件,本地构造
: M" x6 k' J9 HNO1:注入' I. f5 s" t, d) X! L4 y. Y, ~' e# A
http://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
6 g D# F2 i9 u& M7 B: }* g' D编辑器ewebedior7以前版本通通存在注入
8 ^: O! ? G3 @直接检测不行的,要写入特征字符. ~, }. {4 H( J2 n. x
我们的工具是不知道ewebeditor的表名的还有列名" {, V% I5 y# T! W1 e) _2 l% `
我们自己去看看+ s. p+ b, S- {2 J$ A A0 w! i' j. f
哎。。先表吧+ C8 \% x5 O; i' S1 m! f
要先添加进库
; P9 O+ ^: G+ ^) G$ ]开始猜账号密码了' ~ }# T C, s
我们==
; e" {, {0 L' f心急的往后拉
& a, T& j4 y+ W: ^/ m. Z出来了
+ ^! i) y, E# L* i8 K; j9 ?[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511207 M6 g8 T+ {4 R" D, C7 l
对吧^_^
) s# d* N% M# B, h后面不说了, C( O: ~2 r3 [0 `: c
NO2:利用upload.asp文件,本地构造上传shell) ?6 O; I; Z( b; d9 b# u2 s$ P. k; N
大家看这里6 Y; z) g2 {: k6 j" @/ l( ~
http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=373 H a$ O3 c( u5 k! s ?5 t
如果遇见这样的情况又无法添加工具栏是不是很郁闷' I9 {6 }- K1 d5 s1 i9 l
现在不郁闷了,^_^源源不一般
5 S4 h# z4 R n2 ]我们记录下他的样式名“aaa”
, v+ y$ x8 i- @' Z5 i3 a# Y我已经吧upload.asp文件拿出来了
0 L2 H% U; v7 \4 v5 ]. X' I我们构造下' V) `' h$ G% d- P$ X1 z/ D6 F/ c! L
OK,我之前已经构造好了
8 A$ H( d- `; [0 v4 \" }8 \: |# P其实就是这里8 ?% j' J) C+ M
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
3 h9 v# R3 L3 F* }& X- _<input type=file name=uploadfile size=1 style=”width:100%”>& v: S% j! N( v) H4 v# B3 B
<input type=submit value=”上传了”></input>
' C. R6 d8 `3 Q# Z8 b! E</form>- Y- {* P7 `$ V5 I
下面我们运行他上传个大马算了+ \1 L2 G' Y9 o6 _/ b
UploadFile上传进去的在这个目录下
4 | y! V/ y8 |( L& n( _% D2008102018020762.asa
: j. b0 k; M3 Y. X! N过往漏洞:
5 q8 Z! r3 e/ K0 Y E首先介绍编辑器的一些默认特征:
0 g. C# r; ^) p( N6 \默认登陆admin_login.asp$ P; X7 n( J% Z
默认数据库db/ewebeditor.mdb2 ~ f; B6 Y7 |7 }7 [
默认帐号admin 密码admin或admin888( v) Q5 B( ~! Q+ {6 q. K; X# W
搜索关键字:”inurl:ewebeditor” 关键字十分重要
1 A/ y3 @7 S: d0 g. y! e! Y$ u有人搜索”eWebEditor - eWebSoft在线编辑器”
O N1 F" D+ z# o根本搜索不到几个~
/ p; {+ A6 L$ o) h4 k+ N5 j! Sbaidu.google搜索inurl:ewebeditor6 J6 Y/ u% c- p* s$ Z
几万的站起码有几千个是具有默认特征的~8 V2 S8 W3 v; i9 _5 ~8 c# I4 ]0 i
那么试一下默认后台
- F& e! R7 f& j( Z2 S0 Ehttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
& b h, c/ T) m z0 a- y. [$ S试默认帐号密码登陆。$ J8 W3 I0 G8 @4 ^; e- k6 n
利用eWebEditor获得WebShell的步骤大致如下:$ G( q. m2 e+ Q7 M z: x
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
0 n1 i( S# w0 |5 L) ~, u/ q2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。6 N, H+ s# y6 w" M' b# E& K- G
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。4 n3 J5 e* r5 `
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!4 [0 e! r# k, X
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。( U" X- M4 Y/ f* v5 G
然后在上传的文件类型中增加“asa”类型。
$ l" c$ @ Q- {0 X5 B5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。/ W. p a! x9 _3 T. Y" h- n
漏洞原理
; }. `3 y, @; c$ N% o: b3 g0 Z漏洞的利用原理很简单,请看Upload.asp文件:
8 x( N4 Z$ i1 p& b3 q& Y$ G4 t任何情况下都不允许上传asp脚本文件% P4 Z9 N1 e% k6 B3 |
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)1 @4 z# ?3 u' |
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!% S* p: ~( q( N r
高级应用
' n5 E, F3 H5 \. u4 ieWebEditor的漏洞利用还有一些技巧: j& {: U! o6 q7 \# X0 A8 ~
1.使用默认用户名和密码无法登录。+ s: z G* |+ R) n- z
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
8 e, }. O' ` N h! R8 j4 S' m2.加了asa类型后发现还是无法上传。
6 z6 \' k2 E. W* ~& {7 A; w$ ]应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
$ z9 z% ^0 y& R6 q1 u/ bsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
1 @5 P0 i0 ?. k- U- T" C猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。4 j" k) y- G6 d: G2 E5 a9 i, x: r4 H( o
3.上传了asp文件后,却发现该目录没有运行脚本的权限。9 n: D0 a' @( |9 ?! a
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。% g5 n8 G0 c& }* @% |$ q
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
5 O7 a P; W3 d- \5 X7 Z9 w( p看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
2 |6 J4 C; N# M) K' ~后记 E. r. A: o0 I4 q; k! i8 U& N
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!) D! w% Q) d0 U2 [; b. P4 i
|
发表于 2012-11-18 14:24:49
收藏
支持
反对