算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。+ \$ [" G p: G+ v8 o
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog6 M7 R5 X u7 u
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
) L. p* N! F( Z8 f/ C3 S那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
B7 \ n( H5 W6 p/ v* Q5 t9 d7 q5 k3 a- X1 H
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。+ e4 V0 g1 a6 m7 s& D! r5 ]3 W8 T
属于安全检测漏洞版本ewebeditor v6.0.0
, t: b6 f% b: I$ X* J1 L* G+ N/ S( ^2 X6 l; [( M
以前的ewebeditor漏洞:
2 `5 u: I5 c! {3 U" lewebeditor注入漏洞- R Z* B2 f0 p+ b8 B8 c! i6 \
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
6 t# R+ W4 ^) ]. ~默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话5 T6 o% m0 K) c/ l
今天我给大家带来的也是ewebeditor编辑器的入侵方法2 d4 a$ F8 Z: x1 ~& F1 e$ |) H
不过一种是注入,一种是利用upload.asp文件,本地构造
/ b- [/ L' m6 a: }8 t, wNO1:注入
$ D: G& Q: l) O: [/ uhttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200 K1 M8 @/ m/ Q
编辑器ewebedior7以前版本通通存在注入/ O5 Z0 e8 A3 p/ W7 w% L- G
直接检测不行的,要写入特征字符$ T& S/ B) n8 t% t
我们的工具是不知道ewebeditor的表名的还有列名$ y; q8 C0 Z: ]# D8 H4 E6 G5 e J, Q/ `
我们自己去看看! W0 a1 Q: x( C1 u. J6 U1 s, v
哎。。先表吧 [6 U' S5 K$ r) F2 g) ^9 G( U
要先添加进库; _3 o( F" P% m/ ]9 W
开始猜账号密码了
" O8 a- v k* f; ~8 Y1 A0 } u我们==
* u$ K f' l0 A( W心急的往后拉
/ k9 o6 u3 j& y" h出来了: o! j9 i$ i- a
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120* [$ H. ~ m) E$ a. z3 u
对吧^_^
7 j1 y3 m& h: \% W/ L. a% k5 o- A2 j后面不说了
% W P3 U/ v& b3 l! m( kNO2:利用upload.asp文件,本地构造上传shell
, p) a: Q& Z$ d大家看这里
0 l* [1 f- o5 X A9 u* Ghttp://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=371 b$ e! `+ U' J) y$ ]4 z1 \# d
如果遇见这样的情况又无法添加工具栏是不是很郁闷) X) |) l/ O- R: e% G8 M
现在不郁闷了,^_^源源不一般& w' Y$ ~( x& ^" Z9 T0 o, |! p( ~
我们记录下他的样式名“aaa”
, d4 B5 n5 Y9 \5 H6 j/ E. u9 z我已经吧upload.asp文件拿出来了( Y p! V% }4 M c
我们构造下
, q3 `6 A/ J( r+ I) i; NOK,我之前已经构造好了
8 Q2 N$ p, t0 X0 G其实就是这里
4 y8 w* b( o. w. |9 O<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
/ m1 j1 F# U/ i' r8 ? ?<input type=file name=uploadfile size=1 style=”width:100%”>; r$ h% z# I2 h% O4 S4 G6 Q4 T
<input type=submit value=”上传了”></input>* k7 { v0 v) I) k% c% `
</form>2 @- V, L# R7 `: V7 F# k
下面我们运行他上传个大马算了
3 a1 K! x6 P- l7 r" i( vUploadFile上传进去的在这个目录下
1 q9 e( G3 S" Q0 I2008102018020762.asa5 G& o& \# K3 b1 e, X7 W
过往漏洞:
$ ]1 B) s n% l2 A首先介绍编辑器的一些默认特征:2 F! {7 p6 t/ F" t0 S9 G. n
默认登陆admin_login.asp& r' L$ |9 z. J+ @$ {
默认数据库db/ewebeditor.mdb; ]- E0 U0 @- _7 ?( }7 z
默认帐号admin 密码admin或admin888
1 o1 K8 w' n3 Y$ q% r9 S# C搜索关键字:”inurl:ewebeditor” 关键字十分重要
0 q) R" R! X$ W ?0 H有人搜索”eWebEditor - eWebSoft在线编辑器”1 n( Z' m- K# O
根本搜索不到几个~0 J" m+ r5 E& t8 Y) q( A7 d$ X7 i' L
baidu.google搜索inurl:ewebeditor
5 g8 L4 k% p$ Q& x6 t) |几万的站起码有几千个是具有默认特征的~6 S# Y6 u9 s X
那么试一下默认后台
% H* F3 f( v7 n+ L3 r( B$ W" C# phttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp. q; I+ j) V7 a: f2 I& U
试默认帐号密码登陆。
. t; l3 M o' M+ P0 ^: d/ J7 v9 l利用eWebEditor获得WebShell的步骤大致如下:4 c( ~$ x6 f" Q- t {- ?9 q
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
- K1 n: M; R8 U7 E0 s" E K2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。; {+ N3 M( {( r& ]) k9 a1 `1 M
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。. C" {' P) }" b/ u0 c+ L$ Z
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!$ V6 O# Q8 A4 e; g7 w
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。+ G. H0 }, \4 V) M2 j: g7 J
然后在上传的文件类型中增加“asa”类型。+ r: n1 ?, @7 F% l
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。" G5 \" f( y: i. T
漏洞原理' H/ j" y2 h$ P" W/ Y0 f& O) F
漏洞的利用原理很简单,请看Upload.asp文件:2 x4 d6 p _& D2 L t' ?, K
任何情况下都不允许上传asp脚本文件+ s/ v- v2 ?. m0 ]+ R
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)/ w& I. v: H$ K A$ ?
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
4 I. i! ]! t1 d2 b# @; Z, n$ |" P高级应用7 g8 S5 l4 y7 q1 Y5 t, I' ]9 ]% x
eWebEditor的漏洞利用还有一些技巧:
, }9 w- J) i6 k- m- k; P1.使用默认用户名和密码无法登录。
! i' `/ ^, ^) h8 T. p: f% q3 N7 ~) F. u4 k6 o请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
$ V. ^5 }( G' e# W, M2 P8 i2.加了asa类型后发现还是无法上传。3 u3 s1 t! w& ^3 \9 q) ^4 ?" m- V% r
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:/ q, e; t0 E) U) S& @) J( `. p/ F
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
2 R% {; u \, }2 w( |1 F% H. t猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。) c' |: t* Y+ o
3.上传了asp文件后,却发现该目录没有运行脚本的权限。7 y9 o% n, N- i9 ]
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
7 N+ c4 `3 x- r2 I" X4.已经使用了第2点中的方法,但是asp类型还是无法上传。$ M: t& A7 _- l& [9 C, J% L
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。' \% l3 `! @. p9 Y! r
后记
) F2 e: E# S) i! R根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
1 n" g4 J0 e3 |( e |
发表于 2012-11-18 14:24:49
收藏
支持
反对