eWebEditor.asp?id=45&style=standard1 样式调用! C% K/ [ W" Z! s" n2 S) ~: H
m2 _" h$ S7 g4 m; C& B, |" E. `* Q
/edit/admin_uploadfile.asp?id=14&dir=../../..: i7 R3 @3 s; [
可以浏览网站目录 ../自己加或者减. H, {! `( H/ P! b# d& ~2 Y
. y3 T1 W% S+ E有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
: J5 w- ~. J* h8 w& P简单利用就是
' w4 I( z4 u- n" ?. w1 }6 phttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
* Q. u2 s5 }' \0 Bhttp://www.siqinci.com/ewebedito ... amp;style=full_v200' b) z" f" O9 k9 A& T
可以利用nbsi进行猜解,对此进行注入
& g7 ]) E- _2 v, b# P还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
: d2 J/ o( o5 G) V7 D' Y8 l这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:; D9 H: {/ {% V$ ~$ e5 g6 P
在action下面
5 [) f, L; H5 E<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
( N" E7 d4 F" K4 s# ]- U6 _<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">( p1 T& }# ~! Z! f; t- @3 I* r% W+ w
<input type="submit" name="uploadfile" value="提交">
4 R% m$ Y$ L, F+ q<input type=hidden name=originalfile value="">6 u& X# ~9 D) }9 l* M8 N1 `; ?
</form>
% R* e: A* O; m) h# Q------------------------------------------------------------------------------------------------------------------------------------------------! b2 {# ~- \1 c. v0 L
<input type="submit" name="uploadfile" value="提交"> 放在action后头
/ r) @1 k; e# s) v,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。; |. i+ L$ S; p# N
q! r- T' n6 r+ v, S: d% F2 b
; p' M: n5 e7 j" u
2 T$ F5 U/ Q: I& X# c2 }% V H, k/ d& L; t
Ewebeditor最新漏洞及漏洞大全[收集] (图)
1 B$ f6 N( ?3 a3 r7 _本帖最后由 administrator 于 2009-7-7 21:24 编辑
3 W7 g$ j e9 x0 t- Y1 D
, _3 W9 y( E7 M# v以下文章收集转载于网络
8 {& d" S( W$ e#主题描述# ewebeditor 3.8漏洞[php]% o% o/ x& |6 B- [7 h5 m
--------------------------------------------------------------------------------------------
. d9 F1 i& T d' ^#内容#3 F8 ~: P3 n- u1 M) k& n
php版ewebeditor 3.8的漏洞
2 o6 `1 B0 K" L' u% e6 bphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
& R8 X: @" c h: T% ]2 ?1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,2 g |6 }% [' O9 e$ v9 T
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
# d+ K+ i1 q3 X# J. v1 w3 后面的利用和asp一样,新增样式修改上传,就ok了
* o8 L- `7 P8 {. p测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)) ^7 ^3 x3 N; a4 y
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
, g/ R7 k ~0 N' C$ U7 Ujsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了7 S8 m2 V# x2 R' P0 ^
--------------------------------------------------------------------------------------------
( L! b" x, z& s" a7 {7 d1 ~
/ |( f: g8 p1 N3 f8 c
% G$ J5 {# m, Z0 w算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
# i) N2 ^2 V3 d/ r
+ ~* K" Y0 E2 u" m+ O% Z3 A+ U5 f漏洞更新日期TM: 2009 2 9日 转自zake’S Blog8 B& }7 e& h" G" N \ M, B
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了! ?- X }& k. Q- k4 K5 _9 {
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址# g7 n" u. U- {9 ^5 }! y
$ E9 B: K3 X" e* T2 z; B1 S4 ]$ y) y8 m* i
然后确定以后,这里是最关键的一部!
( `3 K* d& o+ @% j! d这里点了远程上传以后,再提交得到木马地址: e0 Q* Y/ q% B) y8 `
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
% ~6 ?3 _9 k# H4 _2 `& _属于安全检测漏洞版本ewebeditor v6.0.0
% Y8 j0 e, C+ H8 y! x
5 {" B: H, n* C, M& I0 u( O以前的ewebeditor漏洞:
1 U! }# j9 ^& @ t% d; G' X* h) S9 u5 H7 d0 A" ~
ewebeditor注入漏洞
( |+ b+ c. S& Z3 N) w
2 s/ L4 {, K6 O( U2 {大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
" Z* z. j- h2 | z! L# k8 a默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话7 t6 {' |. n3 ?1 y1 X" }+ x0 {
今天我给大家带来的也是ewebeditor编辑器的入侵方法
3 s6 p; w. C% [0 H3 p/ ?不过一种是注入,一种是利用upload.asp文件,本地构造! S2 p$ c6 }8 H
NO1:注入3 o* I* H0 V- y; V* Y( B
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200( x# t0 {5 V$ z4 N, V
编辑器ewebedior7以前版本通通存在注入+ N2 [/ ?+ w/ s# a( h3 S- |7 j
直接检测不行的,要写入特征字符
2 b6 x t4 O3 }% U& [. }2 y我们的工具是不知道ewebeditor的表名的还有列名' l, ^- O6 ?6 ]3 I! c& S
我们自己去看看6 \) P5 L8 q, k- H R
哎。。先表吧
$ N4 U4 n( m2 B( z4 k% v/ d. @+ m& b要先添加进库
6 ~" o7 y4 Z9 F: n3 p4 k开始猜账号密码了6 T% v: ^8 r) | t( f
我们==! T4 ?& H. i% a$ \ \ _6 B9 ~+ w5 \
心急的往后拉
! |, ^1 A' W, R出来了
" I: L6 F8 S' q; S# d, O[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
# N1 C- U$ F* H! X. m- x对吧^_^
% Y/ ?( I0 ]" O. R后面不说了" e C6 `! Z( e P, W2 |2 } m/ u7 N
NO2:利用upload.asp文件,本地构造上传shell1 G T9 M" @3 c. F
大家看这里8 Q k% e5 u3 ^& B! i
http://www.siqinci.com/ewebedito ... lepreview&id=371 r: @/ [+ w1 H9 d$ g; L8 I
如果遇见这样的情况又无法添加工具栏是不是很郁闷
' {- S# n0 V2 y4 u现在不郁闷了,^_^源源不一般
& r* q6 L# _( f/ C- e7 e我们记录下他的样式名“aaa”+ J' L/ d1 `, c
我已经吧upload.asp文件拿出来了3 k) f( e" H/ I9 v. U
我们构造下
! w6 \" C- X6 `3 J/ |' xOK,我之前已经构造好了
9 D$ K: A* Y9 S9 W. _其实就是这里
9 S1 e( G' F# n9 q2 u8 W<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
$ j) ^9 }( f2 |<input type=file name=uploadfile size=1 style=”width:100%”>9 a5 R9 F' A, X" P" D+ M- j
<input type=submit value=”上传了”></input>
5 U2 E! H, N: E; f</form>) {% h8 V- s# s7 t/ C1 s
下面我们运行他上传个大马算了
5 i* ?3 @; a! l9 [, VUploadFile上传进去的在这个目录下& c, r [9 S( ?
2008102018020762.asa" s' H. c# f; l# h% f6 F
$ [8 O0 D, I( v2 t& v. e- U8 j7 U# Z
过往漏洞:# t, c& b. X) \1 l; W
; y0 B J- q/ H( e2 V0 m5 z
首先介绍编辑器的一些默认特征:' o/ b6 l3 l$ A5 `+ e* E1 E
默认登陆admin_login.asp
0 W( R& Q6 H; b- T; n. ?0 b" [默认数据库db/ewebeditor.mdb+ Y# T) {: J' q0 U4 {9 p2 j/ W
默认帐号admin 密码admin或admin888
5 B/ ?: U0 A( J) h5 [; I搜索关键字:”inurl:ewebeditor” 关键字十分重要
# c8 @5 P# E* a( c) |* P8 `4 C( K& x有人搜索”eWebEditor - eWebSoft在线编辑器”$ C8 l4 b; c2 w9 p3 v; F& [- S
根本搜索不到几个~
8 G3 o) X% s8 f+ ^; U8 z; w: N8 Vbaidu.google搜索inurl:ewebeditor
! A+ e# ^% j, @1 n" ?9 h8 `( D: C! z( d几万的站起码有几千个是具有默认特征的~
$ t# H, @0 Q" |: b7 A2 O那么试一下默认后台5 p; B5 c Q4 j: N& B5 e8 v
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp& H1 S+ U& H. d6 j. Z4 T- t
试默认帐号密码登陆。% w7 T% Q& Q& Y5 k% o
利用eWebEditor获得WebShell的步骤大致如下:# k% R3 s/ v2 j* S4 j' d8 x
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
+ j% O" o7 @/ {7 }4 y% n2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
( f- P* |( | |6 H; _! L# U' b3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
( c+ r. B* h( |1 U4 R) `如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
( u0 g7 `" [2 T4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。2 L$ M; c; k0 ~. w) F
然后在上传的文件类型中增加“asa”类型。
6 L$ ]4 [ t1 a; C( l5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。* ^( W" M& I! k5 g
漏洞原理
) U, ~% }8 W5 w5 V4 @4 ^) A漏洞的利用原理很简单,请看Upload.asp文件:4 e8 Y G9 O" X. X; F& F6 f- ~' L
任何情况下都不允许上传asp脚本文件
n% w) c5 Q" x: u2 K! l- ]sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
. u- A9 b6 H- r因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
; D) K5 X2 X% J B3 g* W高级应用
# C7 O& v! b# G( x- k( ReWebEditor的漏洞利用还有一些技巧:2 a6 s* g- T) w1 w* v" p) f' e A' v
1.使用默认用户名和密码无法登录。- u/ m: q% _* `
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
$ V" N3 D! M" p' k2.加了asa类型后发现还是无法上传。1 U8 t U: |1 }$ B8 [' `5 I
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
T4 W4 W: m7 b+ tsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
3 O! @, T, Q+ X* J2 @& R4 R: g4 w猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。1 R$ H+ }+ E$ H. @2 f
3.上传了asp文件后,却发现该目录没有运行脚本的权限。/ A A4 H( N. i( W O B% t7 I+ N
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。3 u" d/ Q( Z" A' |
4.已经使用了第2点中的方法,但是asp类型还是无法上传。% X" i2 Q$ l7 C- }$ y: I: X6 H
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
( @' p# n& {. w L% C后记8 u) ?1 L( k; ?$ u7 H I ~
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!. Y8 N9 b8 ^0 J" e, D
基本入侵基础漏洞 Q) t; u# c& @6 p( [. O
eWebEditor 漏洞
9 M' S, d: |2 D" S; }
9 t- C- s" M1 g4 a9 o l$ N各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
! U7 \7 W/ Z t. T! O6 s( R' N3 x
漏洞利用# \4 N8 @! u# E" |2 L! t
利用eWebEditor获得WebShell的步骤大致如下:3 O5 H4 ]8 [, `
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
9 N6 T: P* O$ G' ~2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
' {( X& x+ u( a) x3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。4 Y3 q4 |( K, R+ t1 e. }1 W
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!1 Y& F' R( c2 J- b2 J% i3 K, L9 o
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。8 v% U* w/ t" h# b {9 r" @, Q
* ^7 c$ V# S1 i然后在上传的文件类型中增加“asa”类型。
3 L3 E( Z, r; z* t- M( |) [, R. o* s3 I9 ?% T
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
8 T( t2 b, g* l6 h0 N
/ V* \6 V3 {# O2 q- e& F' o( [0 N
- K7 b/ g8 y# p- e a5 l漏洞原理
0 R$ {! m1 r" ?) b8 x漏洞的利用原理很简单,请看Upload.asp文件:
' p1 ?' O( N# g8 c$ |9 @任何情况下都不允许上传asp脚本文件+ ] f# d% z V9 L- o1 l3 a5 }3 H
sAllowExt = replace(UCase(sAllowExt), "ASP", "")2 l# V) C7 I n' |3 n
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!' F9 v; F' c0 w0 T8 D$ t3 O
8 L9 p1 W9 @1 B$ f9 N, y
高级应用* p' Y, V, _- |. m8 O5 C
eWebEditor的漏洞利用还有一些技巧:
& I$ T& F2 h# V/ f0 a1.使用默认用户名和密码无法登录。0 D- D2 _. V/ [+ w( a
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。& y& I" A$ r( T6 f
2.加了asa类型后发现还是无法上传。% t- m6 r+ L/ q; Q; k; |
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
( `+ v d. H6 M" B: B' t% hsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
2 ~' @+ }% b3 |$ k8 u猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
! U$ Q# ?4 ?9 H- O4 k4 F5 A- J4 D) @3.上传了asp文件后,却发现该目录没有运行脚本的权限。
7 b8 K" o3 r/ H' l$ V9 I2 Y. S呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
. M8 C# g' {- g, a4 E. y J( i4.已经使用了第2点中的方法,但是asp类型还是无法上传。9 \! e: m- g! Z. q# R$ L
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
+ M6 z9 }* _6 }$ c3 {+ }* M0 S# g1 ?# `8 a" r1 f9 B
后记
4 ]6 B' @0 e2 |8 S根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对