eWebEditor.asp?id=45&style=standard1 样式调用
* P0 T) T% h/ o- [2 q0 h8 O3 G3 N* r4 L) j' y& \$ I
, R( G4 o* U0 \
/edit/admin_uploadfile.asp?id=14&dir=../../..5 N, i0 N/ U- v" T K/ D9 V
可以浏览网站目录 ../自己加或者减
' t S9 k; l5 N v: u
9 k3 E4 n$ m7 K4 v% q0 d* m3 v! h有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
& x" C+ }* Q% d0 M简单利用就是; K' K0 Q$ y, E( l
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
2 o) g1 h$ i9 o5 K, chttp://www.siqinci.com/ewebedito ... amp;style=full_v200$ g7 F7 {( b; {( p; X. ]5 ]
可以利用nbsi进行猜解,对此进行注入- N9 @- M0 i, v& v/ c3 g' l
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
! ]/ K7 \3 \% a& e1 @: o* o2 S; F这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
* [0 s) b( w8 F5 q* s8 z0 `% Q在action下面- ^0 r2 {7 x+ B
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">' c2 ^1 C/ |9 J: _1 y
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">$ u* W, g5 V0 U- T1 r# J
<input type="submit" name="uploadfile" value="提交">% L3 ], l2 X# V4 Y+ S% [
<input type=hidden name=originalfile value="">
6 {' \- E3 Q* O$ U9 N4 l</form>
8 n" H1 ^4 f" W R3 W------------------------------------------------------------------------------------------------------------------------------------------------
# y$ G/ u: f# h<input type="submit" name="uploadfile" value="提交"> 放在action后头
$ D' H( f& K }/ x/ _- U8 |# i( T' E( n,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。, f8 W+ K' {. _
4 |1 k9 K7 U! n- `, f2 G
+ s* y9 J! X/ L
' a7 h* D! D6 q4 ^: c! d. C/ z( b+ N' {8 @8 J
Ewebeditor最新漏洞及漏洞大全[收集] (图)
9 a/ H' q) X( n$ r9 O4 q本帖最后由 administrator 于 2009-7-7 21:24 编辑
|# k0 v- T- F) l+ Q4 ^
9 X. V4 o: q4 T9 a5 k以下文章收集转载于网络
1 W3 G+ a+ i) G- {. c5 @#主题描述# ewebeditor 3.8漏洞[php]
9 `( D7 d% k7 |& H7 `7 I--------------------------------------------------------------------------------------------3 C9 S3 ^- ^; B
#内容#$ H1 n" k& d! l2 R# ^$ E, m
php版ewebeditor 3.8的漏洞
% n3 w; S% o5 c0 X- L: E: Dphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:6 G+ i* m' ?3 I/ W/ |
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
: a" e p4 d; r* s( r0 {$ U2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
, H, _2 T+ Z- q3 E3 后面的利用和asp一样,新增样式修改上传,就ok了* v# f! N* B6 w( z: Y I
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
- h0 F- `# e/ e" V- S" Yaspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
' C. T6 i% {! P5 R- i$ @jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
$ q) ?; W p. k1 ~$ m1 F; r- K--------------------------------------------------------------------------------------------
( o4 P1 R6 c! @3 f9 K, j( t: ?$ p, ~- l
8 {5 Q3 E4 ]( Z+ \0 h. I
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。8 k, n; ?- M& f
$ x0 G A! e a8 v: m. y+ _漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
" n7 ~( m! W2 s8 V2 P9 \; m ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
. @) m: I7 @; J6 }那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址( C0 ~* P2 a8 M' g( w _/ }& n
& k! u) r% i1 e2 J k. w* `9 H& Q$ k8 _# C8 _ t$ P
然后确定以后,这里是最关键的一部!/ c" l. q# n4 } z/ W3 z
这里点了远程上传以后,再提交得到木马地址4 j5 p7 j* ^1 V
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限5 O1 i0 g8 U1 L. x
属于安全检测漏洞版本ewebeditor v6.0.0
7 W: }. W+ P; n7 s0 I8 F4 B
4 Q* O5 m( `0 H6 j* T以前的ewebeditor漏洞:- c& \0 V4 z& D
: b$ D- S1 N5 [% I
ewebeditor注入漏洞
5 O. a9 l8 L* r
- g+ _" I' n+ U+ K# H i$ j/ S K大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb! w7 H% d8 j5 R1 N: ]
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话0 o) e% P' S1 a6 J8 X. R3 q
今天我给大家带来的也是ewebeditor编辑器的入侵方法
" a T- F& H* ~) L+ J) t* a2 e' v% z不过一种是注入,一种是利用upload.asp文件,本地构造& ~; ]' A; O" ^+ ~. ?8 @0 t3 i
NO1:注入5 k; z5 o) I! q; J7 K
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
% b" @1 q6 i; k" n4 q编辑器ewebedior7以前版本通通存在注入0 X: P1 [" m9 _6 x+ Y
直接检测不行的,要写入特征字符! q# L, l% v) m9 L
我们的工具是不知道ewebeditor的表名的还有列名
0 o$ L% d- }3 p; U, l/ g我们自己去看看
: l7 t$ F6 J4 F& a9 o# G& r0 r2 ?哎。。先表吧% y3 E8 _! c/ U- F$ `, S0 L
要先添加进库' a6 S* @- o; U" X5 m8 n- A9 z1 B
开始猜账号密码了1 g) p8 m( v; U4 B
我们==. n$ O" J3 }2 _+ F) m
心急的往后拉
/ y7 n& N3 h+ x ~1 ?出来了! n! F$ |2 w$ Z; h
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120* I3 z3 v( A8 W, ^# l$ P
对吧^_^
: H$ Y- A7 l* E/ D$ V7 u# i后面不说了
+ j9 V3 e6 A) L2 TNO2:利用upload.asp文件,本地构造上传shell" L4 U$ q; W* i& U% x7 |7 r
大家看这里
; T2 w' P8 M, |) @7 ?. Q' Dhttp://www.siqinci.com/ewebedito ... lepreview&id=375 Q! }8 F* T( R i% M' a9 Y; I
如果遇见这样的情况又无法添加工具栏是不是很郁闷
+ J- A+ R2 t# \1 K6 L r现在不郁闷了,^_^源源不一般
5 l4 J* [5 q+ h ^我们记录下他的样式名“aaa”% ~. m- @2 T) q7 {8 n
我已经吧upload.asp文件拿出来了
$ I b7 y, D- p Z0 ]- ^ D我们构造下, ^. ]* o6 {8 D" n
OK,我之前已经构造好了9 H! o' s5 B* \- x) i
其实就是这里
5 S% a' H4 y$ U* C( n<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>9 z" p! M# b4 v% M+ v/ u
<input type=file name=uploadfile size=1 style=”width:100%”>, K& C# L+ Y- G, U C1 x
<input type=submit value=”上传了”></input>
# t9 V% p) k6 U! V8 j) }/ _: }</form>
' c' w2 a* Q) G1 H4 h下面我们运行他上传个大马算了* m, I8 Z; l1 b; \+ a
UploadFile上传进去的在这个目录下
5 T) b0 u8 W5 Y& Q! p6 ^* }8 e2008102018020762.asa
' [# \! u5 W6 f* H8 P+ ^8 k7 l( x1 F* r+ W+ j
过往漏洞:. c3 W/ M9 T5 p% H
! V% F2 P, O" a. i
首先介绍编辑器的一些默认特征:
1 A( g$ B, F2 @6 G$ `9 [7 Y默认登陆admin_login.asp
7 D: X z/ p' A5 y( z; `' a$ q" w默认数据库db/ewebeditor.mdb
, [1 J- j" M$ ], l& x: H- Z6 A" d默认帐号admin 密码admin或admin888% ~. j* M! J, P( t1 b
搜索关键字:”inurl:ewebeditor” 关键字十分重要
" z+ }( Q( x4 U! f有人搜索”eWebEditor - eWebSoft在线编辑器”
6 `5 u4 Q: b" G3 o# n+ r, F根本搜索不到几个~9 b( j! f' k$ _& P: J! |5 i; V2 ^
baidu.google搜索inurl:ewebeditor
0 h1 h% T# F1 [: {' u# y几万的站起码有几千个是具有默认特征的~
& ]% s( N" c: H2 g4 t! d那么试一下默认后台
* q h [5 G! A& w% whttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp1 d; R5 `5 D, q5 W
试默认帐号密码登陆。
; g, c) U; T, J" Q% s$ @( f利用eWebEditor获得WebShell的步骤大致如下:
" ~1 e) Z, `# j, M1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。* y4 c3 a/ P: F& ^
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
/ g8 Y8 K" {! d- j8 h3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。4 ^& n1 |/ F- c6 E/ S% p7 [9 C
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!5 e+ f" E% y0 R3 j5 n3 n. f3 H
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
2 y4 v6 c h4 \5 U! c5 @* b) E然后在上传的文件类型中增加“asa”类型。# F8 v5 T+ ]8 T6 U/ p' z
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。/ r* {- m) a9 @* M
漏洞原理
; n7 d7 C( g7 m8 ~漏洞的利用原理很简单,请看Upload.asp文件:& \; H" t% R* w8 P9 J% Q1 ?4 ]4 n
任何情况下都不允许上传asp脚本文件
/ z% l& m8 q6 p/ j" `sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
$ k/ N A2 I+ m5 R* ~因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
3 |0 ?2 m5 j% ]9 a9 w( E% K% b* u( q高级应用* n3 X/ k7 X( O3 M5 D) E, C
eWebEditor的漏洞利用还有一些技巧:
( r- b* b$ M4 B' |! [7 M1.使用默认用户名和密码无法登录。. ?9 S0 {4 G' y& t h1 _8 ~6 H7 `4 V
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
% v/ Y- {! R$ e9 C2.加了asa类型后发现还是无法上传。 |. ]. b( s: g, [+ N
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:3 b* |* |! x1 S1 f/ p
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
- |/ a( M( j6 M5 H h, ^猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
3 t, R; I: L$ }4 _3.上传了asp文件后,却发现该目录没有运行脚本的权限。
6 _/ q- e2 o* \: w& `呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
5 ^3 \' a: Q' r8 W) ]4.已经使用了第2点中的方法,但是asp类型还是无法上传。/ j/ F& n& ]& R, G, |
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。 t( e, }5 Y8 C0 L% O/ x. |
后记 m' w1 l6 \! ~" @! G( q9 a
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!0 D% j! {2 `6 y) ^" l, I5 G
基本入侵基础漏洞; i0 a) R+ u$ r, b& }
eWebEditor 漏洞0 v( l% x/ H4 h6 r I# u" K
) ~6 A% _+ W# C" s ^' I3 ?
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
4 e" e+ p. h/ `* w/ A3 X* H" H3 a$ _0 T3 E
漏洞利用( B: y, G2 ~0 G
利用eWebEditor获得WebShell的步骤大致如下:( L# j* B' J5 O# \* O& s
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
7 s" Y/ ] F$ `) b3 V+ T2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。- X$ M, }$ \# b9 ^2 ^6 @7 y, T
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
& Y& v" C- T: W3 X- R5 r如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
# b# y7 i$ H4 T) T, a' s$ Y% B9 E4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。; o6 X! ^$ G! C
9 {- P1 Q3 y* ]2 \# v
然后在上传的文件类型中增加“asa”类型。
! a% U( q% `- H2 }3 D5 v* E; }1 C. _& Q3 q
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
, d3 Y0 k7 i% r; F6 C
1 z9 |) F) Y, U+ I
3 ~/ q3 ~1 f: y6 ^% u# y9 g8 Z漏洞原理: s I- x/ Y, ?, a! M& I9 y, D! m, t$ B
漏洞的利用原理很简单,请看Upload.asp文件:
5 W4 H! Y9 F0 f7 w任何情况下都不允许上传asp脚本文件
. e. \. k L' K) T$ X" s7 ksAllowExt = replace(UCase(sAllowExt), "ASP", "")
% A$ N+ d" k3 e7 y0 ~9 h因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!3 n: a: A2 O7 O2 c% _$ {- n2 u$ d
' j q2 a; O I- D$ ]6 s高级应用
4 I5 e: q9 Y/ U8 b5 {eWebEditor的漏洞利用还有一些技巧:
& c: ~& M& i' A9 H' l' s8 w. L1.使用默认用户名和密码无法登录。
! L0 u) I/ C. u* h6 r. s9 j$ b请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。, S5 T7 e6 n( \# k
2.加了asa类型后发现还是无法上传。
% B. \, C" K( X& W/ L应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:; A. Y2 z" i; s. `! i" [0 [2 c5 P
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", ""). n5 g$ K! ?' g1 o: {1 F( O* c' y3 J
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。+ S1 h5 l) H5 B, F) N
3.上传了asp文件后,却发现该目录没有运行脚本的权限。; {- A+ }$ }0 v+ P0 h
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。1 Q8 h, g+ v: K4 y) a
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
3 x3 b3 E. {/ X8 Q$ c. n3 q& J看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
9 Y4 A! O! s3 ^' D/ a$ Q' U- i4 P) j) l! C
后记
. P; v1 W+ ^# `4 `, s* q7 S+ a根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对