eWebEditor.asp?id=45&style=standard1 样式调用
" {, i# S; h* [5 n q) N# [& S G4 F' k2 k
/ Q v* ^: ]6 |& Y
/edit/admin_uploadfile.asp?id=14&dir=../../..1 n: T0 E4 f+ C8 B1 _" J
可以浏览网站目录 ../自己加或者减
0 Y5 L" p5 F$ l" O2 P& p+ q8 _% V. J, e6 k
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞4 k3 |* I) `% F
简单利用就是4 d \. o7 v" g+ |+ S
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200/ N& A& J J" S& Q$ z
http://www.siqinci.com/ewebedito ... amp;style=full_v200
* Y. r9 ^" R) W( V+ I可以利用nbsi进行猜解,对此进行注入2 V V% s q7 [$ e
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
" J% P/ v$ F. A! t这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:9 _. H* c& x9 o. J0 t
在action下面
! _( `7 ?% y4 S& Z# b5 ~<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
8 K9 ^- j$ p( d1 @0 G* P$ ^8 h<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">: z$ G( F, `% }; c. Z1 A
<input type="submit" name="uploadfile" value="提交">
- }4 v8 p1 H t8 U) s) [" H7 b y<input type=hidden name=originalfile value="">' \0 M& ?1 X! z$ @0 x
</form>9 V) q# Z( d' a( u3 e* j& L
------------------------------------------------------------------------------------------------------------------------------------------------
( c1 ^% t+ s% q<input type="submit" name="uploadfile" value="提交"> 放在action后头! b; ^ v1 _9 f) ?3 B
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。6 P$ w i# Y4 R$ u4 |% n
M% B# [3 I% B# ]9 b7 J' s/ }) J8 i9 r$ c Y: s
& `; w* ?) i1 x3 K( V) K A
9 {0 W# A3 `7 t: R6 P+ c! fEwebeditor最新漏洞及漏洞大全[收集] (图)
( `; ^+ Y3 w. s3 Z% r X本帖最后由 administrator 于 2009-7-7 21:24 编辑
\, |4 ^. W# r
0 X/ y ~8 e+ {' j( u4 h' U以下文章收集转载于网络& e1 a! y* k7 a6 ^% H- b, r& D I2 Z* X
#主题描述# ewebeditor 3.8漏洞[php]
0 K3 U# `+ M# n. U1 a--------------------------------------------------------------------------------------------( b3 y0 v% ?$ \) _* Z: _
#内容#- F3 {, d, S% |
php版ewebeditor 3.8的漏洞
/ p l( t* W6 m& @php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:' m1 ?0 w: O1 X$ s2 V: s' z) U
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,, G' ?1 H" P5 a( a+ X- ^1 M8 R
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
+ @% r. a1 s! H# E- N3 后面的利用和asp一样,新增样式修改上传,就ok了
( S' g7 q9 y" m测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)1 J1 }. ~+ e# \/ ]2 c
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell; b$ M3 p' }0 Z. O0 Z" _
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
- z# ^. [) c( S8 N( ^--------------------------------------------------------------------------------------------
3 T' V; A- C( Z2 i( k0 T4 ]6 ~3 D* u9 b
7 E" s1 H$ C2 C$ ]. I0 W0 T
" U% l: a) X2 e0 B+ d算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。% p1 t2 g) R: D! U: T
& I3 C& V' r# R- w漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
1 Y) t: `4 C1 i7 y) W ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了$ s$ o( P& m a: e/ ?. s' {
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
{! Y( m/ K; @# i3 J9 z2 D3 T$ ^+ B: @
! c6 f5 l! b. x1 B然后确定以后,这里是最关键的一部!
8 w6 e( d# L' |这里点了远程上传以后,再提交得到木马地址
- D2 [2 p' b N' G. Y3 ]由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限0 U5 ^/ @) n$ h3 [/ m4 Q5 H
属于安全检测漏洞版本ewebeditor v6.0.0
4 g/ M+ U9 u6 {; A) |* [4 j
! b- x. A; g+ M1 w7 T3 n以前的ewebeditor漏洞:) h& Z2 t/ I* z
6 p R. g9 }5 O8 Pewebeditor注入漏洞: q$ I; B; X7 Q
) b5 H! s! b( v
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb4 I& V, N" b+ s9 c! I. Y; X
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话5 A4 {$ ~$ ^! C( u' G
今天我给大家带来的也是ewebeditor编辑器的入侵方法
( I' a) O& T3 o7 {2 M* M不过一种是注入,一种是利用upload.asp文件,本地构造9 i% J' F- p2 e; M% v+ K' c
NO1:注入6 Q& F- T, d f, L3 K6 {
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200: `) B# P7 { G3 o
编辑器ewebedior7以前版本通通存在注入
# K$ y3 M3 X4 k2 t c直接检测不行的,要写入特征字符
- [9 f, p2 G4 c( J; B我们的工具是不知道ewebeditor的表名的还有列名9 {& J) H* C& L( v: f& x
我们自己去看看
1 P: W4 ?' q( g" O' t$ T哎。。先表吧
: \- Z, Z% y* A- i/ [& U要先添加进库
% o. e; w4 C# x& G* R; l开始猜账号密码了
3 z; u% T5 [, |+ o) u, D! m3 }我们==2 A- p( T; k% r
心急的往后拉# E0 S, w! v' l, B
出来了
1 h3 B, _7 C8 @( |[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
7 d9 G B$ `/ `3 K% @) X, H对吧^_^$ {' Z6 R1 e4 M' ^* Z0 j! Y
后面不说了
1 z% ?# ~2 u+ o$ j1 VNO2:利用upload.asp文件,本地构造上传shell3 b, |8 ?: z# U* r7 ]: a( X, v
大家看这里
0 C) M; ^; f/ t+ D! p2 ^" vhttp://www.siqinci.com/ewebedito ... lepreview&id=37
/ c+ j4 C6 \- G4 Z1 N1 x如果遇见这样的情况又无法添加工具栏是不是很郁闷+ a. ?2 P- C+ I; Z. A( G
现在不郁闷了,^_^源源不一般, X( k( q4 s0 {% C8 ^
我们记录下他的样式名“aaa”& A3 }" V8 G, f7 U+ k" H0 K+ t
我已经吧upload.asp文件拿出来了
- j) h6 Z0 W$ q Y. h$ h我们构造下) P" p/ `- J* u+ V2 d
OK,我之前已经构造好了" o6 V5 T3 k/ R# R( t/ |9 c6 U
其实就是这里& ]3 f; E3 `5 ~* w5 t4 C# P
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
' K+ V8 J2 U0 R9 T9 p* N: s& ^<input type=file name=uploadfile size=1 style=”width:100%”>
$ B! z' j( V+ Z# N$ i<input type=submit value=”上传了”></input>- p8 L# z4 e z' s, m0 d. L
</form>/ o: }% O, S2 \5 ?6 K% D
下面我们运行他上传个大马算了: ?& m% k7 X3 Q! d
UploadFile上传进去的在这个目录下9 W; P" p2 J5 r+ t3 |1 G- p& t
2008102018020762.asa
9 m% z X( I. \! W0 b! E9 L8 @ W" s0 h( x8 Y
过往漏洞:
u7 T7 E1 x/ l1 A/ E6 U
" }! k( L( W B首先介绍编辑器的一些默认特征:, |# W: g+ u' q, Q. M# ]4 G
默认登陆admin_login.asp
$ h2 Y! F+ ?9 K k4 a: |默认数据库db/ewebeditor.mdb3 k$ Z4 J5 a6 D; d& R
默认帐号admin 密码admin或admin888. p9 N6 a, }1 Q7 \. s
搜索关键字:”inurl:ewebeditor” 关键字十分重要
+ o4 V" ~' p' R$ h' s7 ^4 T) n有人搜索”eWebEditor - eWebSoft在线编辑器”. }& m+ O; r- D" N; R- q' P8 j: Y
根本搜索不到几个~
# ]- X( ]7 B3 [& ^8 @5 Fbaidu.google搜索inurl:ewebeditor
+ H3 {/ F% I$ s, X( J& O* d" |几万的站起码有几千个是具有默认特征的~- r0 r! m4 W* c" ^# U* B
那么试一下默认后台( u9 S$ {4 \/ T$ V
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp* o3 T/ ^0 L0 ]' L# [# c2 z# h9 `$ a
试默认帐号密码登陆。
# @) y5 n4 r# h8 N8 V0 A% W利用eWebEditor获得WebShell的步骤大致如下:; o6 y* P( }- J4 Y3 f2 X
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。9 M3 @8 D6 W6 z% @2 p: L, a
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
& F0 l4 O, E3 K+ ~5 \3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。$ X' r) o9 W4 I, ^9 \2 v
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
p8 A" [! y" i" O5 F4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
* i. ^" K0 g1 i0 _, {2 R然后在上传的文件类型中增加“asa”类型。
% u+ }2 _% z. o- x7 W5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
+ ]- L1 o, w9 L7 j1 L漏洞原理
- _/ {8 o8 ?/ M5 `6 b3 v2 x" D漏洞的利用原理很简单,请看Upload.asp文件:7 G$ H( X- Y% }; U! U2 j6 V- O L
任何情况下都不允许上传asp脚本文件9 P6 E8 f" {1 Q
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
/ q6 c" O% d$ A4 n% t; T因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!9 I" s" h: p8 ]( E5 P/ o7 G- L# ^. \
高级应用
! h# H9 S# A( c' W: N1 R3 t- C9 D4 weWebEditor的漏洞利用还有一些技巧:
4 n {5 h& u' e7 b; k3 x' d1.使用默认用户名和密码无法登录。
9 y! V6 x1 y" n/ ^, o6 D请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。/ }& }6 x2 `$ Z* L9 K- K9 j
2.加了asa类型后发现还是无法上传。/ \! w7 x( n) R- z( K
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:: t* s2 P3 i8 w3 `9 T7 ] w w; a
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)( e( E3 N: [- Y' q* |4 \2 |; X
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
; M- M, B4 m6 ^$ C: G; }; S3.上传了asp文件后,却发现该目录没有运行脚本的权限。' p. u: c9 }% [; T
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。$ p) h& e, a9 }; L5 C, K
4.已经使用了第2点中的方法,但是asp类型还是无法上传。 f/ j" ]6 o; x5 @4 |
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
$ Y1 N/ F2 q3 _/ {后记
$ {# { g+ L! c1 F7 i n5 w3 Q根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!! G0 ~ h* X1 V- {2 M1 V/ q3 d" z
基本入侵基础漏洞
9 y, e3 P' O- G# _* h* UeWebEditor 漏洞& N' C R+ c1 B
: W& h, L7 y: F% q
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! `4 T( v' w# u* ?
6 x0 H/ @' W1 H9 \: d
漏洞利用# U5 P. F/ N1 [/ d# R" E* Y
利用eWebEditor获得WebShell的步骤大致如下:
1 n+ F0 y b7 Y3 w8 n1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。5 g9 m0 k. a/ _9 a6 t
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。0 R, j/ |+ V2 @% z$ L$ I2 ^
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
0 l) E4 `6 Q g% b0 j6 D" z# c如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!; u: ], P, s- O! f T6 d9 W
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。& [( a5 S' C; f" ? Y
; A' p8 P1 d, A2 T
然后在上传的文件类型中增加“asa”类型。0 |" T0 o( n% @: ]( Z
4 n6 ^; U/ ~ }3 N: Y7 B
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。! U* {3 p0 ~- a% q; P# Y- K2 p" D8 t
/ h- C$ c- {0 q6 z
4 `6 ~4 R7 o) |/ c+ ]% s漏洞原理, k' K2 P% v$ \' p" l4 w
漏洞的利用原理很简单,请看Upload.asp文件:3 _! [1 K. u) g: b
任何情况下都不允许上传asp脚本文件
- o2 i. N3 i1 i) ^4 v( K8 X! ysAllowExt = replace(UCase(sAllowExt), "ASP", "")- C$ `+ q: Y6 N4 ^8 V
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
4 W; x4 h3 r( V6 w; ~3 H$ h, j" c F
高级应用# k" j" K/ H6 I i4 m
eWebEditor的漏洞利用还有一些技巧:6 ]6 _: e( H" Q( O
1.使用默认用户名和密码无法登录。
2 b0 t* q3 A4 i7 F( j/ U4 Z请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
" K% A4 \9 P: F2.加了asa类型后发现还是无法上传。
$ v6 Q6 z& Y" w- q; `应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
; D& d: D, w* ]# JsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
; F( \ ~6 F4 G2 V猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。2 c; g. V( ~. C) N. g
3.上传了asp文件后,却发现该目录没有运行脚本的权限。+ Q) ~9 d* n2 A% y( _- f' g" a3 C
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。. b# t6 K1 M+ J
4.已经使用了第2点中的方法,但是asp类型还是无法上传。& i/ z, Y0 u3 F# V) Q2 l
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
" Z q) u, c$ g% ?. ?: _, c5 ]; h M3 o: [6 n; R6 v0 u
后记3 v3 u6 G% g' u0 f
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对