eWebEditor.asp?id=45&style=standard1 样式调用" D9 O) P# x9 O
0 {! n1 }% l7 }) z2 Y( J! X2 F/ p' z8 t* o$ P* F; S- S( y4 G9 }
/edit/admin_uploadfile.asp?id=14&dir=../../..3 n& Z; b, ?8 A) o
可以浏览网站目录 ../自己加或者减
8 v( [9 l; {7 Q# O9 L9 r9 g& r2 h! [" I; D0 ?1 p! ` J; x+ j
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞! q# c. C8 v: B$ g2 P0 E
简单利用就是
0 d' f2 c1 E4 Q( i) N- _6 U4 Chttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200" G% ]( N. j7 _5 \; K5 D, [
http://www.siqinci.com/ewebedito ... amp;style=full_v200! {: _0 [& r! w
可以利用nbsi进行猜解,对此进行注入5 G) \, I4 J% m! G
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
+ F& \, D# S$ A0 ^5 y" z这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:: q+ N6 h3 n$ J
在action下面
2 b: t- C2 y0 B& w/ N. e- t<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
& r- ^& p9 X0 T0 x<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
' e. B# a% x( A<input type="submit" name="uploadfile" value="提交"># A, f( g3 k3 R) F
<input type=hidden name=originalfile value="">
0 h$ Y7 y0 i9 z1 }* i7 _</form>. D3 X9 l% p7 a% |2 @
------------------------------------------------------------------------------------------------------------------------------------------------
! n y( t- C3 E; w0 l<input type="submit" name="uploadfile" value="提交"> 放在action后头
G. P' `& X" U- X* e2 \,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。! |' }* h+ u% A4 |/ Y4 z' e# u6 I
% `5 h: }# y, D" t& _5 v$ [4 T5 _% \
' A1 B- Y# I- z1 r* C& R7 a7 M4 ^- X% b
Ewebeditor最新漏洞及漏洞大全[收集] (图); ~( ?2 |& G! C0 J
本帖最后由 administrator 于 2009-7-7 21:24 编辑) P0 w h: F' ^$ u
+ ^4 u: y4 K# d! N( V& L; |. R以下文章收集转载于网络) E H0 D4 S/ j7 {) t- `
#主题描述# ewebeditor 3.8漏洞[php]
9 }! ^) _2 u% @3 T6 |* S--------------------------------------------------------------------------------------------
4 A ^5 V/ J, y: T#内容#
, R8 X9 D& J1 p0 P" ^6 {2 ]php版ewebeditor 3.8的漏洞
+ J. m0 y+ X" F/ s1 xphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:3 L0 \0 U% d: I' }; a" w3 ?
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,5 e; r$ H; p6 r$ u
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
: \5 ]. u( s9 ?0 i& r3 P+ E3 后面的利用和asp一样,新增样式修改上传,就ok了
0 x; F/ Q1 A3 h2 }) m测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
9 [- P. x# J2 v' caspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell1 U6 P9 S9 [1 T. o- @
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
8 g+ |+ l* k! t7 v7 Y0 B--------------------------------------------------------------------------------------------$ |6 q( Q7 V% a" R8 \* g& O
# u3 F; L5 }; N' ]1 y4 m+ w2 O* h
) G% C. A3 \% z2 V5 l- @$ X算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
8 v+ ~( Q3 C) |. G) c+ Y9 o- I) z8 q
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog+ q7 Q7 P4 ?7 N) q
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
0 J7 G+ W+ U0 V% B8 ?8 [那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址+ t4 x/ x8 B! Y$ e$ p
1 `) F% {' D' w
+ o) ]: m9 i0 R: v/ y% s
然后确定以后,这里是最关键的一部!
7 n7 {; ]& x7 b3 v @3 m" V- w; z这里点了远程上传以后,再提交得到木马地址$ z) t. N" U! n$ H6 Z, I# h" c
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限0 Z! h9 a: P& h4 x; Z
属于安全检测漏洞版本ewebeditor v6.0.0% v' c6 I- Z5 @6 [4 |/ J4 f
# y0 U* t( e3 c8 Q
以前的ewebeditor漏洞:- `/ T" T) x. ?
; w* m \/ v" u( H. Y B7 ~
ewebeditor注入漏洞5 D; W+ ^; Z- U9 s
; z I% @$ z2 v大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb. L% r# V3 O3 P% c2 d
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
( X4 `4 l: V* d* X- L) ]7 K9 T今天我给大家带来的也是ewebeditor编辑器的入侵方法
0 g) W, \* ]8 | s% X不过一种是注入,一种是利用upload.asp文件,本地构造
* s" k: \) N3 }: N2 M9 \) ]NO1:注入
4 M: l/ _ w. W# g" Ahttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200) s- M+ K/ x1 ?7 _/ ^ K
编辑器ewebedior7以前版本通通存在注入* k% N s& T& X3 {2 s' T
直接检测不行的,要写入特征字符/ B* ]0 n3 O r6 ~: f+ D
我们的工具是不知道ewebeditor的表名的还有列名
$ ? s: i _( _/ p6 C/ h# b; x" `我们自己去看看8 Y" `# c0 L9 f- H# M( C
哎。。先表吧+ Q8 E5 j |/ e! m
要先添加进库* z3 P3 ?, C- z! M
开始猜账号密码了0 W$ c/ F" V! E5 k
我们==- G8 G* u, R b* @% ^2 Z
心急的往后拉/ E) y; X! w, Y( Q- `
出来了
/ x' k1 H1 Y/ Q l. ?4 z" Q[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
" l0 I3 R7 |6 B# {& v1 g对吧^_^8 X2 @. \$ ~0 i% \
后面不说了' f0 C$ _4 t6 e7 o I
NO2:利用upload.asp文件,本地构造上传shell8 V9 i" O( f/ D1 a" t+ R' G6 V' ~. e
大家看这里
4 b: X# S' e. U) uhttp://www.siqinci.com/ewebedito ... lepreview&id=37
. n( x! I W0 A" D; {# x如果遇见这样的情况又无法添加工具栏是不是很郁闷
" d$ K6 X, I' w/ E现在不郁闷了,^_^源源不一般
& q! C- r* [& U1 Z我们记录下他的样式名“aaa”& p& W. y t1 e9 J# V( q
我已经吧upload.asp文件拿出来了+ P6 f( E& n# z: q# z& A
我们构造下) v; C2 H" f; O" w% t
OK,我之前已经构造好了5 Q ]. \/ c8 H# G# H6 S( c
其实就是这里
* m( D5 t, O. h# |* c; L<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>2 s7 _8 j* G! \: R6 h9 y' r
<input type=file name=uploadfile size=1 style=”width:100%”>7 H2 t5 Y6 o. Z- K# G( A
<input type=submit value=”上传了”></input># R' h# y, V) g8 y
</form>
, B5 I/ d2 R5 S7 h* l" [下面我们运行他上传个大马算了$ H) D! a0 d& X7 X% t$ Z
UploadFile上传进去的在这个目录下
, g* B7 R1 k$ h2 M8 @) B! x2008102018020762.asa
0 p( ~4 V0 ?* B) c
5 \1 A: K) H H过往漏洞:
0 O) O5 n6 B2 q0 h) Y: I4 I; ]5 {% D0 B9 q
$ n& D) k* U5 _5 k, u3 X首先介绍编辑器的一些默认特征: ]; J3 g6 W8 a/ j0 c% F
默认登陆admin_login.asp
. @+ O8 C6 W! `8 S( C默认数据库db/ewebeditor.mdb3 ?- l, ]4 ~& Z% z9 I: F0 j0 L
默认帐号admin 密码admin或admin8880 T4 R! ^; k- x& }$ k
搜索关键字:”inurl:ewebeditor” 关键字十分重要
0 o, y% Y! O/ Z8 j# o# c$ j/ W有人搜索”eWebEditor - eWebSoft在线编辑器”
. B' F9 Y- a7 h( ~; e+ q7 i$ Y根本搜索不到几个~
) m/ @$ T: y dbaidu.google搜索inurl:ewebeditor8 \ q8 v$ R/ O c% ]/ X$ L/ a0 M% L
几万的站起码有几千个是具有默认特征的~
& Q# j& x0 U: E& n- ~ j. l那么试一下默认后台* D( a) ^7 z# Q9 W, v) F* A
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp* x. f: Q0 A$ ~; ^' D1 M9 D- K
试默认帐号密码登陆。- D( |+ v" ^7 a( v6 J3 U
利用eWebEditor获得WebShell的步骤大致如下:
6 a7 h1 M% X9 D0 Q& d0 N1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
1 P- W0 z1 D# Y5 W2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
7 K4 [% g' R4 R3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
) L; ]0 n9 }$ w! X3 G! |5 a如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!0 m' M9 ]; B1 U: Q4 P
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
% Y& M2 T3 j O( q$ H然后在上传的文件类型中增加“asa”类型。
3 B1 t3 {0 \+ X @% j9 h5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
& t9 e: N: w' ], X4 y漏洞原理9 Z E! `- L% r- I; y# Y
漏洞的利用原理很简单,请看Upload.asp文件:0 ^. ~1 j3 O! I2 F3 N% M* @3 g
任何情况下都不允许上传asp脚本文件
; H4 i0 q/ U( X: r; f! N% Z+ AsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)5 R( F; M9 B( Z9 W0 U! O
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
3 F+ y, h0 K6 M# S7 @8 J9 H4 |高级应用
4 f: n; D! v/ }eWebEditor的漏洞利用还有一些技巧:
* B5 F. M6 X3 \. ], \1.使用默认用户名和密码无法登录。
+ _1 O% R. T6 B+ N+ X9 W请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。- E$ |" c$ [0 J' K) [& d( ?
2.加了asa类型后发现还是无法上传。( ~. d: }; J% Q* Y7 ^6 o
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:- J; y0 S+ v5 [5 p. X& V
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”); m# f& G' K" G
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。2 q5 ?# F# y3 P+ P' k" w
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
i# _0 x8 [ {' Q& W呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。; \. Q+ \: v1 T0 ]& f
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
3 v" @( t/ s" Z8 y. b看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
: q3 `/ b/ K$ y) x/ Q' q ~2 o2 L后记0 G( o5 I' [0 P D0 E: @# D, i
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!! I- t. v$ D& F0 f, V4 \
基本入侵基础漏洞9 u' [ b5 W2 k* ]7 }
eWebEditor 漏洞- M4 A( L+ P7 z& ^. \" Y
A$ q- y b% J: e2 @
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
3 L! F( ~2 v/ D9 ^: D" K' Z. H/ K8 P! n* I& i5 Q2 h4 {8 D% M
漏洞利用4 c$ s, m o5 d
利用eWebEditor获得WebShell的步骤大致如下:
+ e0 Y+ E: u/ o1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
, p) ^& t6 H8 O' Z7 P2 A2 \2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
' \$ Y* H! H2 s( }3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
9 G) k6 d( ^7 d a如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
) Z' U6 ~2 j/ N4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
' |! o" ]; X8 [! F: I* t& c3 U( t# g X" T5 G4 J+ B0 d$ E
然后在上传的文件类型中增加“asa”类型。
6 Q5 m* m) e- ?! M0 s- A2 c6 `9 Q# g2 N/ O# v" W$ x8 ^5 [
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。8 W" r2 V7 u! ~7 l& e0 h( Y
; W. K0 u; \( W( H" e7 J z3 N
; \3 E- Z1 s: E4 V) D漏洞原理) \7 A" \8 {4 E$ P
漏洞的利用原理很简单,请看Upload.asp文件:- Z# X& n. ^) Z6 r( W- s
任何情况下都不允许上传asp脚本文件
! A0 y9 U, o7 A! G+ Z2 HsAllowExt = replace(UCase(sAllowExt), "ASP", "")
$ T* S3 i. D1 g6 \4 i% d因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!6 w" H v. c1 b* k% W, H
6 b: u2 R$ m% S9 g高级应用' `, M" o3 b9 O% C: ~6 ^
eWebEditor的漏洞利用还有一些技巧:
6 p5 V3 u _" W& x# g. c% t1.使用默认用户名和密码无法登录。 i& P, \5 S/ N* w1 t0 Y8 G
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。+ I8 @7 b- A" ?) g
2.加了asa类型后发现还是无法上传。, r; }0 D( y0 b' B
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:! B7 F2 M$ i+ K5 g4 i9 \. A }% J
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
& w c3 Y8 A% a* y猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
1 q, J* w5 p: J, E3.上传了asp文件后,却发现该目录没有运行脚本的权限。; D! B, N9 i8 Z* v, ~. d
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
: q2 P( t, K2 l+ F4 Q4.已经使用了第2点中的方法,但是asp类型还是无法上传。
: s- m8 ]+ d6 C8 K' u看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
5 B' o: m& D9 k/ `0 T* U; S: Z
0 P9 G. B' U( U1 Y7 b+ @2 a后记
) H* ]7 h( M) N0 ?$ f# d) {. l根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对