算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。, O2 Y9 F! Y7 @
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog0 r, d7 F" W/ i" m3 w7 R
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了5 J& j. C8 e. ]( i1 g" s& b1 z
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
W F2 s3 J% ^' Z: w2 r
/ d1 |5 ^9 K2 k$ N |由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
% ?* s, G3 X2 f属于安全检测漏洞版本ewebeditor v6.0.0' k5 x" I* m; ~) J/ B' U7 L
7 P( U& j) r: S9 `: K以前的ewebeditor漏洞:- Z0 W/ f; ~/ B9 N9 h' F$ ]9 l/ L) y
ewebeditor注入漏洞 S- V! B: U$ g! `$ h
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
! M6 z( |* n9 B; J E: e: G8 N默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
" ~/ H+ R4 _" ]7 f今天我给大家带来的也是ewebeditor编辑器的入侵方法4 X- l0 Y! Q- N1 c6 u2 m
不过一种是注入,一种是利用upload.asp文件,本地构造( S6 [+ ^/ h1 ], R8 l
NO1:注入
; P f+ L8 w( T- W% Fhttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v2008 A% `& b. e6 m- }
编辑器ewebedior7以前版本通通存在注入$ t; i4 M% i" o# b8 A# Q
直接检测不行的,要写入特征字符
- [6 @1 ~% ^7 m6 X f$ a2 e我们的工具是不知道ewebeditor的表名的还有列名' Y, E) O' x+ } O( ?
我们自己去看看
( W4 z$ j2 j& ^9 H1 {0 X哎。。先表吧8 z$ z8 _- o7 ^. [6 K
要先添加进库
) [8 E& K% @9 @; V& R( b开始猜账号密码了5 s1 r8 Z0 m5 S' R ~: T3 d5 S1 L
我们==
6 `4 v/ V& |) G8 K4 O心急的往后拉 k3 S9 h, n8 T5 _8 j7 @8 Y
出来了# k9 x( Y1 m# O' |% g
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
' L x V( | a5 Z: _$ S7 Q1 \5 _对吧^_^
! b- ?1 t3 O6 O* B9 _后面不说了
) f2 i [- u5 T2 W9 |/ E: f% z! mNO2:利用upload.asp文件,本地构造上传shell5 o _+ j% V' W9 G8 L y. A. |
大家看这里" G& i4 Z. x! w' T9 z
http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37/ @1 l' u4 Q! T: d/ Z: {
如果遇见这样的情况又无法添加工具栏是不是很郁闷
g5 M& ~7 N9 j% O4 K: K: `现在不郁闷了,^_^源源不一般1 [) u+ @( `( S- U3 f" d h
我们记录下他的样式名“aaa”
* ]9 a7 y) F! u K/ V; w我已经吧upload.asp文件拿出来了+ e$ Q. i1 r. p4 i2 ?
我们构造下" G0 X5 @3 Z: \9 J0 N A3 A6 `
OK,我之前已经构造好了7 o2 f0 s+ k$ g0 u: K- r" C" s& S3 D
其实就是这里
# | g+ g9 b, E' @/ u1 U<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
+ b n. T. P: [<input type=file name=uploadfile size=1 style=”width:100%”>
# z8 P0 h! z( @, a4 l<input type=submit value=”上传了”></input>/ F9 Y0 J- M$ E
</form>% L; ^7 A/ Z" d0 d8 s4 D* l) W% Y
下面我们运行他上传个大马算了
& M; M I( d) f$ T$ {UploadFile上传进去的在这个目录下4 w+ z% x L2 ?+ Z
2008102018020762.asa
$ r# u$ q- d% R# `; g# o过往漏洞:
- m5 I% a3 H5 G/ j首先介绍编辑器的一些默认特征:+ f! H5 k& L; e; U) m; K/ u
默认登陆admin_login.asp- H: W( r: N5 U% ~8 V% }( N0 B# K
默认数据库db/ewebeditor.mdb( q* o" V' `! g9 l
默认帐号admin 密码admin或admin888+ U/ |+ _1 T; K" E) X5 s! x9 J
搜索关键字:”inurl:ewebeditor” 关键字十分重要( Z( D. m: o q
有人搜索”eWebEditor - eWebSoft在线编辑器”- l2 `' h/ K& O
根本搜索不到几个~' `( M1 s2 w" v* l" Q- `7 o
baidu.google搜索inurl:ewebeditor0 I9 M9 U9 r" q+ {
几万的站起码有几千个是具有默认特征的~4 |+ S% i$ o+ i
那么试一下默认后台. h; ~9 d, q' w9 i/ `
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
0 N7 H: B2 A! s8 o试默认帐号密码登陆。& e# u8 }0 t# m$ T% _) p2 f8 g
利用eWebEditor获得WebShell的步骤大致如下:
: J# u; `6 \- c! K" G8 f- ]1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
. `2 S4 d8 ^' a2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。3 n6 `) a) ^* b* \
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。; B# W% V2 i" F4 r( X
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!/ s* p$ b. l$ T# m' Y! A$ h5 W
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。6 ~, L- n( w6 d1 R* |# M
然后在上传的文件类型中增加“asa”类型。4 J" M( f9 A/ \0 q& K4 @
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。 R5 b; g. C6 @
漏洞原理5 x" b9 Q% _$ ~& i, |
漏洞的利用原理很简单,请看Upload.asp文件:0 X8 ]9 f7 t9 M! a
任何情况下都不允许上传asp脚本文件% y1 T W7 Y0 A; A# N0 R
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)1 c! ~( O" n, D* N+ C$ m4 |3 J
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!3 g( z7 ^5 y/ \4 A
高级应用 X) g, ]7 G: M- n
eWebEditor的漏洞利用还有一些技巧:- d: ^+ b% h q7 z1 b
1.使用默认用户名和密码无法登录。
. k' x: O, `& E. }, n5 }请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
0 a8 o# E" s( X- y* k3 o* h( a2.加了asa类型后发现还是无法上传。- O" R. n, l& A, v
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
3 E' l% I0 r) s' @. `' u7 P9 [sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
/ V2 d' e7 j. ^2 y& K, x猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。+ l6 P# G, a, N: s g6 @% I* C
3.上传了asp文件后,却发现该目录没有运行脚本的权限。9 t( U7 z% Y3 r" P C- O- ]" ^
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。- F- Q0 t# D8 W9 o! z- p: y
4.已经使用了第2点中的方法,但是asp类型还是无法上传。( k) s0 ~7 n- |3 P9 u O+ F# l. {4 N6 V) h
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
$ A z" i# w5 k- r; U& g* h后记
! E- z R8 w6 x3 Q* o+ j2 ~根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
6 V7 o" h3 I: U" y$ c$ ~9 m |
发表于 2012-11-18 14:24:49
收藏
支持
反对