算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。9 P" H- D! @; ^( W% u
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog9 B/ o2 Y7 Z+ N( D* K0 e% B
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
S A% Y- ~$ ^3 k那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
; B I/ H9 w5 d g7 O! n; v I: D% q" }
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。- r: r9 m8 g1 O1 k; S
属于安全检测漏洞版本ewebeditor v6.0.02 V' o2 Y0 Q. R8 Z
& P$ s0 @3 @+ }' A r/ r以前的ewebeditor漏洞:
' c7 v) Z) }# j2 hewebeditor注入漏洞8 X( e( g K4 ]' W( L- h( a
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
- I# c1 f2 ]4 t" f4 \默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
0 ]9 B/ R& \) h8 o$ g今天我给大家带来的也是ewebeditor编辑器的入侵方法
9 E8 ~2 i) H& n不过一种是注入,一种是利用upload.asp文件,本地构造9 z9 \$ E) y- {; O
NO1:注入
% T/ y' I9 j' S- Fhttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200* n. ?1 W3 Q; E
编辑器ewebedior7以前版本通通存在注入
( J7 J8 O4 ^, D: Q; r+ d7 G( ~直接检测不行的,要写入特征字符+ \2 L; l) c. z! k+ o0 I: {3 k
我们的工具是不知道ewebeditor的表名的还有列名
( U9 t/ Z8 d. W1 [5 V我们自己去看看, ~/ s: c, {, K. v0 Y4 Z
哎。。先表吧9 f+ I1 X1 E6 w/ H6 Q3 a" F" P
要先添加进库) b& {+ X7 |) c' ?6 o
开始猜账号密码了
' C0 b \" U/ ?/ f3 b& c我们== f8 Y; b7 h5 D! R; A* Q
心急的往后拉
. r% Y% Q1 L1 v8 K出来了( ]( C2 I# g/ N1 V
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120' ~7 s9 P! [: A7 u5 b: @
对吧^_^
8 g. ]: g0 y4 D! H5 W; \8 N* v后面不说了: z) d% s2 q: ?4 y
NO2:利用upload.asp文件,本地构造上传shell6 c3 A' @9 }( I4 q6 Y/ ]2 x5 ~
大家看这里
$ U J- z6 V, r: K' }http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=375 ~* y* H# ?" r) g* p' D* a
如果遇见这样的情况又无法添加工具栏是不是很郁闷
) a) K5 N$ |6 z( w, V现在不郁闷了,^_^源源不一般
* \& H, `. y4 P! }- z我们记录下他的样式名“aaa”- @) b) T% P( D0 D
我已经吧upload.asp文件拿出来了
& r" e9 H% t% L" L# C8 Z. z我们构造下
4 s' k# b4 [9 v( o: R4 P* rOK,我之前已经构造好了7 \' T9 E x: ^7 E! c5 r; J* G
其实就是这里
8 I4 @6 `1 G; m8 m$ g# C. R<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”># M& I! [" y; b) o
<input type=file name=uploadfile size=1 style=”width:100%”># | v; i& C7 J- ?) N* {
<input type=submit value=”上传了”></input>
4 ~" ^( @7 B- [7 y% [7 G% s* T</form>4 r$ q0 i4 C z( E+ e$ \
下面我们运行他上传个大马算了
1 u. x$ E# S& a8 k* v; Q: HUploadFile上传进去的在这个目录下3 |6 I3 @! q4 k$ p% r3 |7 ?
2008102018020762.asa
, e9 _, N$ V8 U$ F过往漏洞:7 d0 n5 L* u- s: Y. g U3 V: a. _
首先介绍编辑器的一些默认特征:2 w1 J. a+ j0 w; E
默认登陆admin_login.asp
# E8 F$ I. C- \. _5 L默认数据库db/ewebeditor.mdb
- C! V$ N, _( ^% O- ^4 | G默认帐号admin 密码admin或admin888 F1 h9 n: l" l& \& C
搜索关键字:”inurl:ewebeditor” 关键字十分重要
: M1 d' J3 _* K6 O$ J& _有人搜索”eWebEditor - eWebSoft在线编辑器”# h2 q" Q5 c5 r+ Z5 g+ I Q. c. |
根本搜索不到几个~, d( a. [8 p: }
baidu.google搜索inurl:ewebeditor! J, c6 f: P5 b; F" W5 ^( u
几万的站起码有几千个是具有默认特征的~
% m4 w( v* {7 M& S/ y# ~7 c那么试一下默认后台
- j h, \# m* T: R& }6 e# d* xhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp$ u/ a4 r# d6 \, W. c1 b- d
试默认帐号密码登陆。" P/ T7 j f! ~1 v8 Y, d1 l' i
利用eWebEditor获得WebShell的步骤大致如下:& S: n6 f+ }) q
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。3 Q' h$ g3 Z4 k; y- `) |
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
- n% O! v- y( R1 f5 u3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。2 |! F7 b- T$ |* Q9 }$ L: L$ B
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!' z+ c$ L2 D- A7 P' C
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。 G- a* P; Y) O+ q% h* p1 g4 B
然后在上传的文件类型中增加“asa”类型。
0 U1 C/ X5 ]1 G3 k7 W) R5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
/ Z5 c. I8 d" Z8 v3 Z8 i4 G' X漏洞原理
, i, D, L1 b' w- @5 `* w! _$ C9 b8 {漏洞的利用原理很简单,请看Upload.asp文件:; f0 n8 _/ Q) [$ ^. S3 T% @, N
任何情况下都不允许上传asp脚本文件* ?0 L4 J: A8 m; O( h" T3 l# d
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”); t2 Z. T( p1 u5 G
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!9 v2 N9 {5 G- a* p. t: k$ Z
高级应用
9 f' Y q) `1 N% D1 [eWebEditor的漏洞利用还有一些技巧: w* _$ Q, h2 D* n8 H! i
1.使用默认用户名和密码无法登录。
# M _" W1 m6 n6 O" t请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。; Y! F3 n3 C1 M
2.加了asa类型后发现还是无法上传。
: {- R! `' I7 k4 o* K" Y) G `# F应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
3 M* o2 u' F. ?7 O" jsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
5 G5 p# e9 A) _/ G" u猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。6 {" N% ?/ Q5 m
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
4 u3 B2 T1 r$ a [呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
0 u. j8 J+ r8 ~4 D" A2 E. w4.已经使用了第2点中的方法,但是asp类型还是无法上传。( m2 W% g* A. A. C% x/ p
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
* d/ J1 A1 H) `! z' P% ^7 s后记0 y4 p3 _ `1 ]
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
5 S! C& R4 ^0 T" U9 b |
发表于 2012-11-18 14:24:49
收藏
支持
反对