eWebEditor.asp?id=45&style=standard1 样式调用
- \. x! @$ G- Q+ h& |
: c( Z: B& P0 c# E/ G( b1 v; ]" y: d
/edit/admin_uploadfile.asp?id=14&dir=../../.." l8 \4 c* e, n
可以浏览网站目录 ../自己加或者减
7 l& j/ V9 r/ M3 S! t* }. k' d& y4 e O y( W1 ]
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
% X. |# T% w3 z; H, W( r简单利用就是) X7 J) _4 u. ]4 d% B4 R3 u& N
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
, J8 e/ E8 N$ o2 D, Dhttp://www.siqinci.com/ewebedito ... amp;style=full_v200
' n6 {$ L' m1 ~8 S可以利用nbsi进行猜解,对此进行注入* S, Y" _( S& a5 n
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
! d* B& T8 P6 e$ U: i! x这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
# q! q5 {! Q0 H1 ]) M在action下面0 ? ?$ k. w9 x% T e
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">5 B! ?% @; y$ d+ h. v- i
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
4 D8 {0 k; f5 E. P. q% Y$ L<input type="submit" name="uploadfile" value="提交">
% j T+ v. @, r# A7 K<input type=hidden name=originalfile value="">
) a- V6 V, L/ ]* D0 k</form>+ Y% v! F- Q h' L" o+ z* Q* Z
------------------------------------------------------------------------------------------------------------------------------------------------
! O3 _# U$ _& Q4 x2 }/ s# S6 F<input type="submit" name="uploadfile" value="提交"> 放在action后头7 v( y: t! Q# K; r0 [( D
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。$ q; o% l& q# w# \
) d3 c) f2 q% t# e. J
0 U0 T8 V1 y) E1 K5 T
; e) Z* H% |7 S* }# G6 u
( Q* `% m5 r# f+ ` x" \4 L: WEwebeditor最新漏洞及漏洞大全[收集] (图)
. d- q6 N- G ]" X. n本帖最后由 administrator 于 2009-7-7 21:24 编辑6 A' F0 O4 q# d$ ^2 Z
' g1 F5 V2 w, h0 A: ?' k/ C3 O
以下文章收集转载于网络
% o2 C: q# S* S. {& K- y. `: a#主题描述# ewebeditor 3.8漏洞[php]
5 k7 M) }) {: k/ v6 G p--------------------------------------------------------------------------------------------+ i( E' [5 E: K, o! b
#内容#
' b4 K) M- n( k9 v Cphp版ewebeditor 3.8的漏洞
, u3 F$ ]' q. b# ~9 I' A* z$ wphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:% `% s( F' o: U
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
; [& i) Z1 S# u7 L0 [" S- c& Z2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
+ j6 C$ x. W1 C3 后面的利用和asp一样,新增样式修改上传,就ok了8 e' t0 K1 B& \9 g5 a5 Q
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)( j% E' u" Z6 o
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell, B& g. Q* X" N/ ]( c
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了# R. v. p# ~9 E M/ w5 ]! H
--------------------------------------------------------------------------------------------2 T. a; B7 k( T- @6 |
1 K# g) v8 h4 j
3 x5 Z6 N9 U% L8 q算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
( l7 F- K3 H9 }6 D6 }( q% S5 w* L8 t6 Q3 t
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog- {0 x. O% [0 d
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
6 x) T0 K$ W/ z5 |9 m那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
[6 T% k# O8 ~) U& G- o9 U+ ]/ h0 A/ \' u; N' _% S
5 e4 I$ F q8 v- |5 u
然后确定以后,这里是最关键的一部!1 b' s, p$ I* t0 g
这里点了远程上传以后,再提交得到木马地址$ \8 j9 Y" J0 n) p
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限" e9 m% z+ X8 ]: x: \5 e" `
属于安全检测漏洞版本ewebeditor v6.0.0& l n& t7 m p5 p, a
. }0 G+ j. F6 L5 c) l: O以前的ewebeditor漏洞:
4 J$ R) A. b5 ]) C1 n
$ _5 ]+ }5 ?+ |; m6 Rewebeditor注入漏洞* G' B2 O- x# C. i, S, A
@5 g }3 E$ ?, L3 V3 n9 Q a大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
0 D* j$ Q% [: X+ ?5 B" a默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话/ L$ v: J2 D' `) f' a( V4 E
今天我给大家带来的也是ewebeditor编辑器的入侵方法& B- H8 {( j& o& j
不过一种是注入,一种是利用upload.asp文件,本地构造' d8 Y% {3 o& |0 e+ R! K
NO1:注入, s$ V+ H8 u5 X8 z0 t& m( A* q
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200% Z4 {' {) `6 T, ^' g/ K
编辑器ewebedior7以前版本通通存在注入
& ^- e2 A+ i( c直接检测不行的,要写入特征字符
) k6 D( k8 ~* n4 u7 ~1 {我们的工具是不知道ewebeditor的表名的还有列名
' k$ F: b. t7 i5 P/ ]; v我们自己去看看
( W- ~& U, d& Q/ \哎。。先表吧7 a1 h, V: G, Z4 Z
要先添加进库# W1 b0 a# s$ F4 s# r( k/ X C1 S
开始猜账号密码了
j! h6 F- v$ m+ {; u我们==/ n3 T& `' d M2 ~3 N7 c2 [
心急的往后拉3 N( i0 i9 }) w5 O7 f
出来了
- b' m" s' f7 H4 o+ h) w; R[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511202 R1 _ x7 u& n1 i2 b2 ^: `: u S
对吧^_^4 {2 i8 E+ W( e0 {' s8 @
后面不说了9 G0 d, Y+ r$ L$ N1 ~/ n7 y: ]3 \
NO2:利用upload.asp文件,本地构造上传shell
* H. N9 U+ \2 S% Y3 B大家看这里
: m4 B$ L4 Z) i1 d5 u: e% @. Q0 mhttp://www.siqinci.com/ewebedito ... lepreview&id=37* K3 }9 V! M# O: v- d/ Y; h X% D7 j
如果遇见这样的情况又无法添加工具栏是不是很郁闷% }! H$ I0 J) o1 a3 ]2 V
现在不郁闷了,^_^源源不一般
$ z" o. l. O9 ^ \1 V9 C9 O. t我们记录下他的样式名“aaa”6 R1 T6 R T7 \* M
我已经吧upload.asp文件拿出来了
- E. M h' W1 M2 C我们构造下0 i; y# s1 _9 |1 D+ |( C
OK,我之前已经构造好了
4 j6 B+ z" d; W2 Q其实就是这里( y4 ?' G; H$ k/ B
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
& X, K) s- S4 T6 k$ |<input type=file name=uploadfile size=1 style=”width:100%”>3 o" S, B0 c' i- X
<input type=submit value=”上传了”></input>9 w- j3 N9 R/ x% O8 F. {
</form>" |8 C2 m# j3 H9 f$ P! E4 B
下面我们运行他上传个大马算了
6 H% t. Q6 l( X. t' B# QUploadFile上传进去的在这个目录下
& x& c. g$ w; K$ R% w5 ]1 Z* }2008102018020762.asa3 r, v: a1 `$ x9 k9 g. }" f
0 T: n: F) P5 `
过往漏洞:& [( Y! U2 [' Y& I" M
- t) ?/ m( @+ k0 x! y4 ^$ T$ Q4 c
首先介绍编辑器的一些默认特征:+ }- x. ^, o- B% _' A
默认登陆admin_login.asp* s' a5 a6 c; @5 P+ M
默认数据库db/ewebeditor.mdb! b/ d4 H) f9 e# | ]' z! C
默认帐号admin 密码admin或admin888) [4 S/ `0 J8 C3 A6 x7 V* _% k
搜索关键字:”inurl:ewebeditor” 关键字十分重要7 T0 c9 B- h1 [8 y* B3 I. {7 A
有人搜索”eWebEditor - eWebSoft在线编辑器”
$ v) Y P) S- c# M/ M根本搜索不到几个~
& q1 L) L7 q% O5 l6 L" C) ^baidu.google搜索inurl:ewebeditor
! ]. w. a) G7 o" D6 { L几万的站起码有几千个是具有默认特征的~
5 x# c& p; ?+ M1 C: q0 m+ H K那么试一下默认后台
0 u3 B0 T6 [0 e4 D# n Ihttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
# v; W: g5 O+ S6 m5 l3 q. ]. j* U5 I试默认帐号密码登陆。
0 J6 i1 A- w( B利用eWebEditor获得WebShell的步骤大致如下:
( T; F5 I8 X5 \( |% n1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。0 u; _3 I/ j, w( D
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
3 \9 Q# J) I+ |! K" G/ @3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
. i3 ]% u5 X8 C+ u* A* [如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
s. k+ @1 f( H8 d$ F& \4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
0 n9 z9 X* ?9 T1 F1 P( K然后在上传的文件类型中增加“asa”类型。
/ y$ u: B5 q* q- v' e5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
" Y; O0 m# O$ O# N: x& j/ H4 X漏洞原理
% j; t: ^/ m# \: T+ }* {漏洞的利用原理很简单,请看Upload.asp文件:
. f, M# g# }9 i$ f任何情况下都不允许上传asp脚本文件
: T; v) A+ q+ e. ~sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
1 C1 C6 }2 J; W: d$ G; C0 r因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
+ i- o+ ?' s* i2 ~. n高级应用0 T, o0 _8 N3 s, U% e+ v5 R3 v/ d
eWebEditor的漏洞利用还有一些技巧:% H, r& I4 O7 s% |, t+ R/ ?
1.使用默认用户名和密码无法登录。
- S8 W0 F! G9 U4 T$ h$ b: p请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。# G z- R7 C7 k* ~* Q+ o# F& W; t
2.加了asa类型后发现还是无法上传。
. p$ C* x8 k4 x8 `- t应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
- R) m4 v0 H5 {1 O4 z8 KsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
0 u- R# ~7 e9 e6 ]猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。/ F+ T$ D& R0 r# w
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
, w3 ^9 l- q; p. [6 r0 y) [5 W呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。0 H3 N' P- p k
4.已经使用了第2点中的方法,但是asp类型还是无法上传。9 a/ C% h5 B4 Q4 z5 _8 D
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。' [7 w( [5 \4 g' a# ~
后记
! y) ?- U% V8 C4 K根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!6 V& y: d6 z/ n {" L1 H$ {; g
基本入侵基础漏洞5 ~2 `$ q! e1 u) d; N( c
eWebEditor 漏洞! b" \ i; u1 O1 ?, l. n; I) V0 Z
/ b2 u# W' w- f各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! + ?" A* v2 m6 O, F
7 ^6 \+ v! b, K" x漏洞利用
4 c9 }. k: H" z+ c利用eWebEditor获得WebShell的步骤大致如下:
7 L9 l: A& m: ~( n1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。/ Y/ J( b. U' |/ x+ E F6 ?
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
. }. B- K& W4 O- ^7 _3 D3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
- J! j1 c6 @, G; k' O) z5 E r如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!0 ]# n- W$ p) g% u+ _. n% N' f+ M
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
G- U7 Z$ {4 ]2 r; z* u+ Z: l7 `* \# r4 z1 c* Q3 M
然后在上传的文件类型中增加“asa”类型。
8 Y* I- a J: }, ?- R9 _2 z3 E1 S/ H- V% i. z9 Y
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
( \0 v7 S! u" t8 x- T+ _6 v- A& }% E# H9 H6 ^
$ g% X) k, X( ^: a" L- N
漏洞原理6 x+ @" z2 `( S/ H+ b4 B1 k
漏洞的利用原理很简单,请看Upload.asp文件:
& a" m/ ^& l! `任何情况下都不允许上传asp脚本文件
, d0 A- J7 R" B( ^& jsAllowExt = replace(UCase(sAllowExt), "ASP", "")3 T( }+ y9 V7 N R7 @
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
4 i" ]1 ^& r+ Z0 U/ S) D2 o, p, U% y; l0 d; T) Y
高级应用
' t) @, m; ~+ y- {0 Q3 R4 \0 ]eWebEditor的漏洞利用还有一些技巧:6 m3 K- Z7 ?& n" I
1.使用默认用户名和密码无法登录。
+ x; t) ]- f7 h" m; Z$ B& z4 k请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
+ t8 g! I) a- Z: s2.加了asa类型后发现还是无法上传。( V( n6 w6 s' f% H' D f
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
* i) u# A: D5 T( K) K" s. p4 y+ q6 s UsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
1 O* E, X( }, a7 ^ }" t* A3 w猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
( F( J& m5 s5 m) y6 d f5 r$ h3.上传了asp文件后,却发现该目录没有运行脚本的权限。2 N, s9 s3 i! s7 t2 Y
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。) }' [( [3 Z+ X
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
, G4 e- L" _- c7 a! A看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
2 w& r+ B+ N1 T" w- N( }% H$ a- u$ e( s" m6 |& k# I, v
后记
5 z. B( M% _+ f) b( L根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对