eWebEditor.asp?id=45&style=standard1 样式调用/ |4 E) C3 {* F8 D6 V
. X$ B9 Y: [$ f5 m; Z" H4 r( Y3 d9 e
/edit/admin_uploadfile.asp?id=14&dir=../../..
& t' P' D, [! @; V+ l: J- X可以浏览网站目录 ../自己加或者减
0 a% H1 W9 `( m/ x- w) T
) n9 w+ p+ U8 `! w* }7 y有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
1 t* e7 g: Q3 e5 H. J" y% F/ Q简单利用就是: @- h# h1 W0 _
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200, t- S% D# O3 d
http://www.siqinci.com/ewebedito ... amp;style=full_v200# z! M) Z5 e( ^( I" A
可以利用nbsi进行猜解,对此进行注入% n; N/ Y' V( D* W
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的: \# {! ]) `, V v6 P6 ?3 _. K
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
3 K) [1 u3 [) M3 t# E在action下面8 p8 a w0 |" y: W8 i; Z: Q7 p
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">5 Q# q. f2 Z5 y
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
+ V, ?/ }( m7 z! o( E" H! `0 z<input type="submit" name="uploadfile" value="提交">
$ M! k7 x8 B* E* ~<input type=hidden name=originalfile value="">
% L. K' V: J# {</form>& Z: I( W6 I& z- R- R; S- p
------------------------------------------------------------------------------------------------------------------------------------------------
( X; h: U* o# ~9 M5 D<input type="submit" name="uploadfile" value="提交"> 放在action后头
7 h6 ^( Y' p2 y' C5 n,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
" ]3 P1 a" Y' |) j; i1 @( _7 ^" v% G9 Q. j! x; M! R
4 i6 w# D- Y4 k J& N6 p4 b/ Y# L, J% q6 I+ S5 |( p8 e2 ?' J
7 v5 E) J, J: w6 Q& V
Ewebeditor最新漏洞及漏洞大全[收集] (图). v X* y- f7 H; j
本帖最后由 administrator 于 2009-7-7 21:24 编辑! q( f9 S" h! g
Q ?2 N% o+ Q
以下文章收集转载于网络' O' e$ R- D/ X# Y
#主题描述# ewebeditor 3.8漏洞[php]
% {- }- X+ |4 Z--------------------------------------------------------------------------------------------8 s8 @% x3 `' i* B2 t" ?
#内容#' l( A" R! L- z* T S x' n
php版ewebeditor 3.8的漏洞5 j- ~1 ]6 U8 j+ [2 I+ c# ^! `
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
2 k/ V1 g7 Y+ b, ^9 j( |5 @; R- b1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
7 Z6 B+ A: _* S0 P8 G2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了6 O; m) g5 |4 B* \7 D
3 后面的利用和asp一样,新增样式修改上传,就ok了6 o+ T, ]+ C' U6 I
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
* \; c: W- o Z$ laspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
5 Q) X7 Z% v' ^1 d7 Djsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
# ?! p) ~ c( e6 A--------------------------------------------------------------------------------------------" N) y( [8 s9 `
/ u; H2 P, a4 D: q2 q" M; A4 }& ~( ~
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。+ S( q$ o* X) I5 G8 o
" z& Z' l5 O0 n n- ?+ m漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
# v) Y) I8 `( g. _3 t ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
& h1 m/ b* h' z! |6 w那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
" V: p' m5 q& v4 v" S
! | t k, P: H! O+ d' D* j8 a! U$ `' u! H3 {% |
然后确定以后,这里是最关键的一部!
3 M- d/ N* `2 c这里点了远程上传以后,再提交得到木马地址* u! `" S8 h. F0 E- z) o; |
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
' e7 l0 _9 A: G$ b3 A7 \属于安全检测漏洞版本ewebeditor v6.0.07 J! V8 m! R. S* B
5 Q' x/ B) I% }* p4 A p1 O以前的ewebeditor漏洞:
2 g" K7 Q ^0 O3 U9 t
7 P% _9 j- I& ?. Lewebeditor注入漏洞( Y @! ?: X; T3 y- {0 l/ w7 B" A' z
K* u; c$ w0 Y% ~' i2 X" O9 ~9 ]% E大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb7 a, h. a9 I5 C) b+ K
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话2 g4 i8 C# f+ y! n- j2 e
今天我给大家带来的也是ewebeditor编辑器的入侵方法
, y7 g: I- }8 z. t3 O, v不过一种是注入,一种是利用upload.asp文件,本地构造) r6 S1 q9 F) ~! J t* p
NO1:注入
! l9 x3 N( `+ y& hhttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200- h2 _( s) B4 L- r' T; k8 D
编辑器ewebedior7以前版本通通存在注入
, f* k B) S8 W5 q0 V f) |' ]直接检测不行的,要写入特征字符2 ^& k% ]1 m8 u5 X
我们的工具是不知道ewebeditor的表名的还有列名
6 c$ T% t4 {3 a. K, D+ c$ ?我们自己去看看
1 e$ m- ]9 E1 I1 g/ j6 ]! j哎。。先表吧
/ L5 C! j N2 d: _; X要先添加进库$ l6 k0 r! X/ L6 S
开始猜账号密码了
% }) x& `3 N9 i+ {+ E/ s我们==
( r! [! f; d1 D& g心急的往后拉8 S( J5 @7 M& ^$ c& O5 `
出来了6 c" [* B8 \. H
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
6 K4 o" A5 v) p' a1 m. h9 [对吧^_^
8 e4 f+ C7 C1 K0 D( {# D: l后面不说了& V) S# x. B: W( I/ y' D, Q
NO2:利用upload.asp文件,本地构造上传shell
6 M$ U/ x7 g7 |% `3 N0 }6 W大家看这里
& t0 O) r% r+ v0 Dhttp://www.siqinci.com/ewebedito ... lepreview&id=37- j" H3 B6 }2 \- f/ E( Z
如果遇见这样的情况又无法添加工具栏是不是很郁闷
& P! F; y& c0 R* v5 B3 k1 I3 Z现在不郁闷了,^_^源源不一般
# J4 d/ a6 f# X/ Z我们记录下他的样式名“aaa”& s: q3 k! z, F6 I( d0 l/ X
我已经吧upload.asp文件拿出来了
; ]* p! `& l3 J7 A; C! H9 K我们构造下- {- _3 J* X0 Q: G3 y7 \4 U
OK,我之前已经构造好了
3 c* P6 s: p4 ]其实就是这里( \% t m( B6 }+ ^
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
5 a: s, p* }2 W4 W- V<input type=file name=uploadfile size=1 style=”width:100%”>; F; R' f# h$ o2 m+ H
<input type=submit value=”上传了”></input>
, ^4 N% O, m1 Z+ o</form> [" l; z; L# u* {, W
下面我们运行他上传个大马算了
& a3 E) {/ n! ]/ G- o0 M9 kUploadFile上传进去的在这个目录下! f5 N+ r+ ]0 G: E* A/ t4 a9 S4 O7 x
2008102018020762.asa
0 u# P7 r! g+ P
/ c% e c* e7 ]% i8 G9 B) V! w. G) m过往漏洞:
: c4 J. b! O/ A0 x3 b0 P$ S: E! s# w6 L' ?. ]6 |$ C: E
首先介绍编辑器的一些默认特征:0 w: h6 ?: `6 B% w* i+ J
默认登陆admin_login.asp
9 y9 X) d% \3 W( P默认数据库db/ewebeditor.mdb, l$ e; e( h; {, T- @: C
默认帐号admin 密码admin或admin888
, c" e8 V; Q# J& I5 w7 W5 G7 Z搜索关键字:”inurl:ewebeditor” 关键字十分重要5 ?8 a+ O$ c3 Y3 t1 l' `
有人搜索”eWebEditor - eWebSoft在线编辑器”
! f- h2 c3 K9 f4 I- F* T1 E- `根本搜索不到几个~( m5 s ? Q- ^2 H% ]/ R' \" {' O
baidu.google搜索inurl:ewebeditor
0 f- ?( V2 f3 e几万的站起码有几千个是具有默认特征的~
o+ ` S" W$ }& V" b3 m那么试一下默认后台& x" Q5 w* c# b
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp. j' l# t; {) _, y0 H5 X+ m: p& z
试默认帐号密码登陆。0 q7 l8 |0 E6 g$ O v/ p6 q) ~
利用eWebEditor获得WebShell的步骤大致如下:, |. q6 A3 j0 |# _: W5 G
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。- D& q3 \# e- ~! s
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
0 _. u4 ~2 x+ S+ [. _3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。( V" p. v$ c2 |/ D! f
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
' g3 l4 r6 Y( p4 i5 w1 z3 [8 _4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。+ J' y" W; u5 j% S( \3 r; f+ g
然后在上传的文件类型中增加“asa”类型。
, [. e, m3 v. F+ b% v9 r% T5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。% C4 f8 S6 ~1 x- ~
漏洞原理
0 R: D3 ~" m1 g' t- a, y漏洞的利用原理很简单,请看Upload.asp文件:
8 f2 e( i$ E$ `, Z任何情况下都不允许上传asp脚本文件; A) a/ _' S2 ?5 b# x, `
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
f7 w7 H2 J- F. f因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
% o6 {# Y- F @高级应用9 @4 j. ~. b: m- @/ N: H
eWebEditor的漏洞利用还有一些技巧:/ @5 ~, Q6 G4 }. q; {. f( _
1.使用默认用户名和密码无法登录。
4 @7 |- R4 o) G) S- E) L5 Z请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
0 Q' y& y e! H* e1 s2.加了asa类型后发现还是无法上传。4 w; }$ h/ M, N' N
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:/ Q" r/ c C l; x7 Y
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)/ Z2 S5 r) }6 w; x
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
! d2 q. v- G+ T. a3.上传了asp文件后,却发现该目录没有运行脚本的权限。+ e8 H% B M# r% f$ e J6 P" z
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。4 k6 i2 Y2 ^3 e# L1 B% D
4.已经使用了第2点中的方法,但是asp类型还是无法上传。. M8 [9 e; m% e) E( e
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。* p% t0 V+ j { \' J- X7 }
后记3 F3 E. J. q1 F, W6 M
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
) Z- V' p, S$ q9 x- e* e G5 n基本入侵基础漏洞
1 H; r( a: D% G% C5 w0 s4 ]' qeWebEditor 漏洞0 R3 o/ o/ }6 W6 g+ c! B% G/ k
, Q3 l) p7 C! ^* X! [2 m# B各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! ! I$ |2 u1 s0 t
8 Z2 b# o9 V& g2 A/ X
漏洞利用
% n* ?1 }7 H1 Q$ Z. o9 b3 ]利用eWebEditor获得WebShell的步骤大致如下:
& K7 X" d7 h) {* h1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
" L8 B1 d& m8 @; R2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。9 ^, j. ^2 o2 @6 e: g
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
/ d K. m6 [- T6 _2 u! n, E如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
3 Z2 i; a: T, n0 P5 ]4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
- X# l/ j' P% N, y+ @4 l+ w% M; K. g) \7 E8 P, [
然后在上传的文件类型中增加“asa”类型。; i k" w# F" `
( g: b5 o9 U2 S8 ~# e
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
0 ^( ~( m3 u" L) ^
# o G" E4 m- a: I5 W
; q8 N2 x( \9 F- z: D' q漏洞原理
& Q/ A! C* Z. V' g2 ~漏洞的利用原理很简单,请看Upload.asp文件:' c/ I# J6 K, \: N; N; ]) r
任何情况下都不允许上传asp脚本文件
2 Q5 Z/ V6 e1 J3 dsAllowExt = replace(UCase(sAllowExt), "ASP", "")- m/ V9 U( x$ U n! k: q, U
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
4 y# |8 ]' [1 Z2 `. ]: F; E
# b2 S& `. a$ P* v7 n4 g高级应用
( L* p/ x3 u. n& W# ^, ?" P" u8 |( W# _0 ^eWebEditor的漏洞利用还有一些技巧:
; w7 |* J2 b/ Y# N) k1 Y; e1.使用默认用户名和密码无法登录。
' a. U& l9 E# @8 G) f+ c请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
8 C; v5 t: n/ X6 _: [; x" f2.加了asa类型后发现还是无法上传。0 W+ }; \! g8 G* A, v f
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
. F+ @5 }9 V& g; I7 B9 \sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")) M& l9 m8 k# h* O9 g
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。 [9 c' ]* @. k3 j( Z9 X- ?
3.上传了asp文件后,却发现该目录没有运行脚本的权限。9 \; w' n1 v. V c! f2 ]+ D
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
4 P/ {6 k. h( [( u" W- C4.已经使用了第2点中的方法,但是asp类型还是无法上传。
B+ n% [2 S# ^/ `& L h" ] {1 {看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
( t: b5 Q' G! y. Z
. f+ r# C: c- W& T后记
) I4 R- z* E% R; {- R9 z+ q根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对