eWebEditor.asp?id=45&style=standard1 样式调用* k M' C) g) [- y
4 s: M$ y% K/ M
o/ y! j' O+ ^& N/edit/admin_uploadfile.asp?id=14&dir=../../..; Z" p4 \7 J1 s7 i8 K
可以浏览网站目录 ../自己加或者减
2 ?$ a& G J$ d9 E5 j2 Y# K- w7 c% v& U2 L& A
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
. a' w0 p0 P2 D, r2 {简单利用就是' H$ u. @9 f, I' x9 S
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v2000 v8 b1 U8 ?! |. {
http://www.siqinci.com/ewebedito ... amp;style=full_v200
* Y, h& e4 |( v6 B/ G5 r可以利用nbsi进行猜解,对此进行注入( q3 B1 `' B( G$ X, ]/ V! D
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
# \) h" H2 l! v" Z6 o. B; q0 d* [这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:! Y' w2 G% v. e2 w
在action下面) A6 i- M- m$ P
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">% l5 V" ~! e* n5 U
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
' z* X6 [; [, ^ @<input type="submit" name="uploadfile" value="提交">
% A+ \+ p0 q) g( i& [6 |$ l! o<input type=hidden name=originalfile value="">
/ u. y4 {6 q1 s, E6 D9 z( ?$ M</form>7 j3 |8 {( A. D. }
------------------------------------------------------------------------------------------------------------------------------------------------. g5 g+ L# C7 \3 H
<input type="submit" name="uploadfile" value="提交"> 放在action后头& G) K* f$ Y# @3 N" v
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。7 r( C: G! P# o/ ?; J- B
/ d9 t2 I, f. c; H, p' M0 v- Y' G
* S& S% R. d" V# N' g) h$ @
% T8 n: n4 B' z# v! n& VEwebeditor最新漏洞及漏洞大全[收集] (图), G! }& b) W" s# H2 b
本帖最后由 administrator 于 2009-7-7 21:24 编辑
: O9 L; v: Z$ _' l
2 [; I7 H9 f4 D' y3 X* T, Z k以下文章收集转载于网络4 C6 L. j' L, B! b4 c" r/ k6 f
#主题描述# ewebeditor 3.8漏洞[php]1 P$ t8 R* P% M/ z9 \# v. L8 P+ J
--------------------------------------------------------------------------------------------
: z7 H" K! {. U#内容#
" P: t+ s4 y: i7 L zphp版ewebeditor 3.8的漏洞( ?0 [: _7 y; p7 U
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
" k* n" q- u3 u5 M6 v1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
$ i5 m; [3 G0 G) ^. O/ Y$ n2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
n1 x E, W% ]4 l) |3 后面的利用和asp一样,新增样式修改上传,就ok了
% `9 [$ B7 ?% v/ F" D% Q2 \测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
* a% i8 z3 {; ]aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell# l" [/ D O7 n0 Z9 a
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
7 ~- @3 R9 s% \9 W' P+ U/ [; _- Z--------------------------------------------------------------------------------------------4 L3 U' h7 `9 S( a/ m) x
4 t H n2 ]$ \8 _" {9 d& ~
" n/ z7 t* e& e7 Q( l& e, @1 Z; w7 n算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。0 w$ {2 J+ @- @
+ x& ?$ h& M! ?. x. R3 w0 s
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog& L. o# {/ \8 ^+ |# e# o
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了- S& e# w7 q8 _9 E, I3 n; S
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
' V/ _ R, ^3 e9 y' O3 o
3 |2 b3 Y, e6 I$ R6 M
6 Y, D8 P7 D( i然后确定以后,这里是最关键的一部!
" ]+ d4 v9 q R9 ]* R# o这里点了远程上传以后,再提交得到木马地址, E9 r: r* B' l
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
0 {1 c* w) J' V- g" n d8 J属于安全检测漏洞版本ewebeditor v6.0.0
$ @# a- q7 ]8 V, P2 E
* R& s, v1 S& T$ U以前的ewebeditor漏洞:
8 W) Y* |% H# P& y) J) s4 F
; o. F0 B2 \' L& z0 h3 vewebeditor注入漏洞
, v: }6 b+ O5 C8 W4 M: ^) E
6 p1 [: Y0 b4 Y5 L! e- Z大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
# y" T, }# J3 H0 U默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
! o% \0 n& X: G7 d0 y6 u+ k今天我给大家带来的也是ewebeditor编辑器的入侵方法( g7 x3 P: ?" m% Q: L; n7 y" u
不过一种是注入,一种是利用upload.asp文件,本地构造
" _( I( K$ _2 c' E& CNO1:注入! J9 e) F; A! |) s2 r ?
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
( ~- Q9 @6 M( J9 A% u* C编辑器ewebedior7以前版本通通存在注入0 _5 l5 H" K3 {
直接检测不行的,要写入特征字符# ^9 g2 u; R+ G# H( ]# I
我们的工具是不知道ewebeditor的表名的还有列名
5 X9 ~% O% i' x; s9 H6 U3 H我们自己去看看
1 h* i) v* B" Z哎。。先表吧
. G9 s& W5 ^2 r- y- S要先添加进库
+ J0 _: l8 B8 n) f% n9 k$ j开始猜账号密码了
! G- I, g& [9 f/ t我们==# g+ y- W6 h, f0 f8 h, B: q% n
心急的往后拉 S+ A- |2 R# p0 J& i# ~, K
出来了 s# a( [/ M+ \' {# G+ v
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
5 ~# f# Q$ b; E; e$ \对吧^_^7 {: X# \8 ^" d5 r: e
后面不说了
8 w' c1 P/ G0 J- {# z; }+ vNO2:利用upload.asp文件,本地构造上传shell
( ^. ~/ D2 Q, [% T! \( y大家看这里' ]: G- H* a( b% @
http://www.siqinci.com/ewebedito ... lepreview&id=37
' X2 J- E$ T& m- O' S9 |如果遇见这样的情况又无法添加工具栏是不是很郁闷7 s5 i5 s- I2 O h& @
现在不郁闷了,^_^源源不一般
7 d- x' D5 ]+ o3 H- p c% ~# @我们记录下他的样式名“aaa”
3 q& J: I) O. H我已经吧upload.asp文件拿出来了. w5 k# `* J5 B1 y9 h3 Y
我们构造下( y* J$ @5 O: N" d
OK,我之前已经构造好了 S; M$ \: Y2 U- \2 i# j* q. ^7 V
其实就是这里
! v+ {: }! f4 d3 }8 A. ?' w* ?<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>6 O2 B% {! j4 }5 w8 Z
<input type=file name=uploadfile size=1 style=”width:100%”>9 O" A$ D0 x+ k' b* Q& L
<input type=submit value=”上传了”></input>
5 F7 a# L( S3 a. }& ~</form>
# n: g+ u" h, K$ X) S8 J下面我们运行他上传个大马算了7 }/ Z: ]+ q7 q6 A; j
UploadFile上传进去的在这个目录下8 m, a3 m2 u2 n3 H
2008102018020762.asa$ O8 o( v6 X) y; B
6 A, A" k/ [2 a; \. k( b/ u8 u过往漏洞:+ [5 x) t' o' H# s# n2 ~( k
4 T5 N6 n% g. ]$ v$ o
首先介绍编辑器的一些默认特征:: l% C2 a* I+ t8 p7 c! R, z+ }. V
默认登陆admin_login.asp1 r+ q" o8 h% G# B
默认数据库db/ewebeditor.mdb
. @' ?2 ]* L+ H& n, l* |默认帐号admin 密码admin或admin888
4 Q) e. v T& X- m4 z* ?搜索关键字:”inurl:ewebeditor” 关键字十分重要
* ]: O2 x) d& I有人搜索”eWebEditor - eWebSoft在线编辑器”
2 t2 l# ]4 I2 n' J9 A根本搜索不到几个~
$ d+ S* J2 f3 a% H$ A, m: O: l7 B+ Q; lbaidu.google搜索inurl:ewebeditor+ A5 ^! K! ]- t5 @0 b
几万的站起码有几千个是具有默认特征的~
1 ^5 f- V$ d0 F2 x那么试一下默认后台" D' i# W: D+ g
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
! A$ x9 [0 Z8 `' D. T试默认帐号密码登陆。
/ l: T9 z/ V+ @5 p! f利用eWebEditor获得WebShell的步骤大致如下:
- M& g/ t( ?$ Z& z# o3 t1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
$ e& @9 w6 M; G* G5 q- l2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。. ?" y; E) M! a: i' V, ^
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
; |, k7 U/ {0 ]( e* R4 I如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
V- e+ r- x. p6 g/ J' X4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。0 t5 L/ ]; u C7 u$ u* Y
然后在上传的文件类型中增加“asa”类型。7 h) V% P, G; e& Z, p+ h0 G- e7 y
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
. X# j3 Q- R" u" Q/ u漏洞原理3 S) m6 ]3 e" b3 K) o& Y4 F
漏洞的利用原理很简单,请看Upload.asp文件:4 N* d* t }2 @% a! Q
任何情况下都不允许上传asp脚本文件; K. e! H! p4 X- A( a9 y
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
/ }/ @; U6 |, ^4 a5 {; ]因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!# | F' O4 [$ K
高级应用% v6 @5 B' e) i! j3 F
eWebEditor的漏洞利用还有一些技巧:
9 P4 x K" M3 _1.使用默认用户名和密码无法登录。! f. U% F ^- G6 \7 ^
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
3 P, Y) i: t% b6 E5 X2.加了asa类型后发现还是无法上传。* {9 B( Z) B" }! \* E0 t0 X
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:: f% e. K% e* g9 O" w
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
, `0 Z: H$ _0 H* |猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。6 C4 K- p4 z, l) `" i
3.上传了asp文件后,却发现该目录没有运行脚本的权限。- d2 i' m8 D3 F2 ?9 q8 K
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。5 B- i0 q6 Q$ @
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
+ o! s3 o& Q. n _" N9 t看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。/ d" L) M1 l7 w2 b' v& f
后记
- e: h7 c" @+ X& A( b) m/ U" R根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
* v/ A& N& @7 A" @& F8 S: M基本入侵基础漏洞- O6 B8 h7 v7 I( s4 y# {% B
eWebEditor 漏洞
0 u+ N3 `* J' ]
$ Y) Z8 \7 o- i& O3 ]' U各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! ) F$ x; P V6 T/ R' k5 e
2 x% A1 i3 E- K1 [
漏洞利用
7 O* J5 |7 G$ K, y! Q+ M利用eWebEditor获得WebShell的步骤大致如下:% k& L; A2 `, T) `3 h! [' j1 D
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
2 P" c5 Z& m/ x5 ~; g+ A2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
, m9 B; h8 M) a. f6 o& j2 x" d3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。1 ^0 O# L9 o/ C# P7 P0 U
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
3 |! M2 b/ A( W) j4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
# W4 m( v9 s4 ^" C0 S5 w2 g& a" k z0 v& P& ^1 i
然后在上传的文件类型中增加“asa”类型。
8 K: b. u( \8 y; s8 @0 \( y$ B$ d z/ V& A1 \! D
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。# L# z% P9 S/ g3 X j% D
9 f/ ?* E3 ~4 c2 d% u2 d% d! d( [" R6 A# f/ }
漏洞原理
, T/ U$ X! a6 C, @+ {4 z9 h漏洞的利用原理很简单,请看Upload.asp文件:
+ p9 K; m. ^6 d8 a, \. ~任何情况下都不允许上传asp脚本文件
2 N. _5 s8 B6 D2 t/ GsAllowExt = replace(UCase(sAllowExt), "ASP", "")
* j8 n9 f( {6 I因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
9 z& d6 S/ z8 U7 j0 p# G1 G
; F, v3 m3 F" z" Z高级应用
; a. d' @5 g" [' [; B! qeWebEditor的漏洞利用还有一些技巧:
' }5 w% u& _; F) z1 B8 l1.使用默认用户名和密码无法登录。* R7 K& e+ y8 x+ H% @
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
( k$ V3 r+ l$ `( @6 L2.加了asa类型后发现还是无法上传。! O$ ?9 @% \* t% R
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
6 e8 _' E: _9 M+ R- w7 U, w8 psAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
" Y9 ?: F. A7 W& k( `% U猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
* d% M8 _/ N# L- j& v3.上传了asp文件后,却发现该目录没有运行脚本的权限。
' k# U* @* V9 i' D呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。/ E, G1 ^) k: I5 u8 s
4.已经使用了第2点中的方法,但是asp类型还是无法上传。4 _) ~" F" b C4 k$ {/ N
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
" l" W5 w0 s) q8 g& ]- H" W
, n+ M# e' S) M4 _' [; H后记
5 R: v! K7 t& r- j) ]0 g- m6 k根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
分享
支持
反对