eWebEditor.asp?id=45&style=standard1 样式调用
% ^: n: R* ^, \! h1 Z7 M7 ?+ ^ U
4 d, {3 t: i; _6 I0 S/edit/admin_uploadfile.asp?id=14&dir=../../..
3 K; ^: X. x+ N. W可以浏览网站目录 ../自己加或者减$ ?7 {8 j; l/ M9 t4 y- Y4 |
0 u b- w$ u; G有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞' {- h$ f3 A0 ] V* ]4 R3 t
简单利用就是0 C4 x( d: r7 d6 H5 W O+ }5 D, @
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
$ h* J* U0 u3 R! p" R+ chttp://www.siqinci.com/ewebedito ... amp;style=full_v2009 Q v8 V: C& K) }/ [
可以利用nbsi进行猜解,对此进行注入3 q, ?1 s$ d A: j B& X
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的' ~7 Z4 b# p$ }' B( \. C
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:. B* I' I A0 g& a5 }
在action下面
* @! D& Y8 s* J( p% c) Y<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">4 ?# r5 \4 u8 u+ W8 v+ C- R8 m, U
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
, `) J' \# J! k w<input type="submit" name="uploadfile" value="提交">, J+ A( _, F( {/ t
<input type=hidden name=originalfile value="">7 c( [, O! F* s
</form>
* Z3 {9 D. ]1 ~' k. ^) H------------------------------------------------------------------------------------------------------------------------------------------------& w6 z I/ U# ?" ]3 W1 F: U4 G
<input type="submit" name="uploadfile" value="提交"> 放在action后头' ?: R- ?& ~ v- Y
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。8 d6 \7 q/ X( y8 d* A0 _( C( i
7 }9 o0 z" \* n5 ? }+ @2 g
, h6 Z4 {5 ]( ?/ V/ O( ?# Q3 C: W4 o6 T& x$ t' V
/ L4 _) v4 |' |1 ~2 ?# d; n
Ewebeditor最新漏洞及漏洞大全[收集] (图)
% n- y- R* N& z* |本帖最后由 administrator 于 2009-7-7 21:24 编辑
4 ?/ V7 m8 i* W0 n/ i7 u* \ ^+ \$ ~
0 U6 ?7 A* M5 {* P2 [! o* S$ N' A. @以下文章收集转载于网络
6 J$ _* e+ L: F# [1 U: ?#主题描述# ewebeditor 3.8漏洞[php]: k: A! c% c# i/ W: g O
--------------------------------------------------------------------------------------------
) |9 N5 ^5 t3 v- _2 D4 \4 z#内容#) Z: w: a- G) k0 A# m) r1 ^
php版ewebeditor 3.8的漏洞5 f! W/ \* H8 H4 Z. F- @
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:& ^0 K8 e2 s# F, y0 e9 g0 Z# m
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,$ E; K6 t, K4 F
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了) h8 M. q: o3 G2 l, \
3 后面的利用和asp一样,新增样式修改上传,就ok了* h l0 K1 R' L( ~5 c1 ?
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)2 v7 y7 }% Z* q k& c
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell' u7 I! `/ @$ g: q: Q. d. `
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了. E2 x7 d/ k5 }3 V: @+ H8 h
-------------------------------------------------------------------------------------------- {, x0 ?9 d( m
* N, ^; m# e) k( }+ o( h* x
0 R* z0 Y, F3 f, [/ x# h算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。5 z4 C3 k& ?: ^ T
8 a9 ^! q' L, M" d7 i' Q
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog2 c: U2 D! m1 L( ~
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
2 n1 y2 S* L8 l7 [* Y9 B0 J那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址- W/ F9 P% L, Q* C- D) O
6 s* X7 V" i6 w5 q- B8 \, V7 }+ K
" |, D/ {% i% p3 t
然后确定以后,这里是最关键的一部!( ?/ O8 S" U; Z, H% c4 v& U
这里点了远程上传以后,再提交得到木马地址 h' p0 f9 u0 ^ v% W
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限9 d x- [. q* Z/ R
属于安全检测漏洞版本ewebeditor v6.0.0
. K( ~4 B; h9 c5 f$ d6 ?5 v
0 G) {7 Y# [$ Q8 k8 r: g* R以前的ewebeditor漏洞:; L4 u. Y S) Q8 w2 d1 v
* r9 Q* [& n1 U7 X
ewebeditor注入漏洞
6 I Z0 ]% u9 M0 E" f' O0 r3 P* A/ ]
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb/ n& ~, i8 A1 u5 v3 A! k% K
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话3 N u: {2 i H" E
今天我给大家带来的也是ewebeditor编辑器的入侵方法! e3 `& T4 n3 w% l
不过一种是注入,一种是利用upload.asp文件,本地构造
% g; }* e7 d+ D! C& I O7 vNO1:注入
9 b J+ ^+ G! V2 b% yhttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200
. x1 e9 G7 T3 S1 }8 H0 ]; z编辑器ewebedior7以前版本通通存在注入
& {# K0 y4 { i; M" p+ J* ]直接检测不行的,要写入特征字符
f9 y/ W* b7 g) Y4 P, p我们的工具是不知道ewebeditor的表名的还有列名
' k5 K' l" O. }我们自己去看看
# X) f( i2 Y+ a6 K哎。。先表吧8 W% \: e/ I3 X$ a. w% T
要先添加进库
. k; V& r5 y" a# D. j开始猜账号密码了. N! }" e6 ]2 m* ^
我们==
' q' L% w6 d; R心急的往后拉
. l# Z K! u0 n+ [% P& L出来了* k" h: \) O8 a* n
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120: s% F) \* Z5 _6 x& ~% R& a
对吧^_^$ ]3 x! b7 p0 P }7 e
后面不说了( l+ I7 n0 y6 \4 X
NO2:利用upload.asp文件,本地构造上传shell
) f% X! k. \/ J# j! |1 j/ f7 C大家看这里
: i- Y3 p; ?" Z0 F9 Q1 c% I0 ohttp://www.siqinci.com/ewebedito ... lepreview&id=37
- n/ L I- r2 u% M如果遇见这样的情况又无法添加工具栏是不是很郁闷
+ x1 G- F1 j: e( u$ ]现在不郁闷了,^_^源源不一般
) x( m' C2 R5 v4 }2 z* @. v& Y我们记录下他的样式名“aaa”
: C" T! t7 |# v* Q- J8 r; g7 p我已经吧upload.asp文件拿出来了" {1 f; e9 C* d" p& \! v1 t
我们构造下 ?/ H7 {5 D" r/ W4 i4 A
OK,我之前已经构造好了
6 m4 V. Y) K( z. {6 `# X其实就是这里
7 K$ O3 D, u& ^9 T: F& s<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
3 F6 }6 [3 y6 @# P. ?% Y<input type=file name=uploadfile size=1 style=”width:100%”>
6 q) x! q: z: `/ O4 u: f<input type=submit value=”上传了”></input>
1 {/ m% w% P2 s. X7 R7 @</form>
. H+ p0 B& @$ n( l5 |) j; B下面我们运行他上传个大马算了
- q {8 p0 v4 g$ |$ D; v+ dUploadFile上传进去的在这个目录下- @) M- E! p1 G9 y* E
2008102018020762.asa
! `6 b! k( c# w/ X4 i/ i# F4 ~4 s+ `) q
过往漏洞:, d2 u9 I _* \3 y5 k2 v
8 ~7 ]! C8 G1 Y- d/ A: I首先介绍编辑器的一些默认特征:
6 X- T2 H1 n! M7 F; l' C% }默认登陆admin_login.asp
, f) B& v4 o( ^默认数据库db/ewebeditor.mdb2 n d" z+ U1 K8 F0 ^
默认帐号admin 密码admin或admin888
7 F6 c) Q( h& P" f; C搜索关键字:”inurl:ewebeditor” 关键字十分重要0 E( d6 f6 ]( E/ Q# }
有人搜索”eWebEditor - eWebSoft在线编辑器”
. h% O! q* q5 r$ |+ y根本搜索不到几个~9 e: g$ [( s' N& l
baidu.google搜索inurl:ewebeditor
+ v+ t7 Y! X- K9 }0 w几万的站起码有几千个是具有默认特征的~+ ~9 d- z- u& `% ?) E
那么试一下默认后台: z6 l7 {! k" \! B& k5 v( r
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
V# }* B5 F& d0 ]/ X试默认帐号密码登陆。3 [: M: V1 D3 Z# ^) t
利用eWebEditor获得WebShell的步骤大致如下:
5 a6 X, X4 k* @! ~& D$ n1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。3 v$ `5 w: V0 `6 a o1 h
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
. y( l( K1 Y r! J8 o1 ^3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。" y5 q- @3 m" _6 [: L
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
: [/ {( t: [# Q, j" {0 u% B4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
9 j" W" R# c% x( I" I然后在上传的文件类型中增加“asa”类型。7 v' b, R9 X! n0 R
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
( h. V2 G+ x$ ?5 l6 S: F7 ~' U漏洞原理8 z8 K. `( t- ~8 I3 u7 ]0 C; C* h
漏洞的利用原理很简单,请看Upload.asp文件:! l9 ~, {) C9 d& d. |2 ]0 C- R2 h
任何情况下都不允许上传asp脚本文件3 ]3 q$ v: B3 Y8 o
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
i7 j/ K' v8 n' C( u* ]% Y因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!8 h4 z& t* \8 r- i
高级应用( H5 V/ ~. D6 c$ B W6 T
eWebEditor的漏洞利用还有一些技巧:- k; ?, R; U E A5 G K
1.使用默认用户名和密码无法登录。0 R! e. @ B) l0 E# c. F9 _+ q
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。: e* W" O9 ~9 e c, V: g
2.加了asa类型后发现还是无法上传。
) h, Y- B" T+ P! Y+ y7 X5 Q) H# g应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
# E; l6 d6 \) Y" `4 A- PsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)6 |5 m2 ?, `( S) P/ s% d
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。$ J; ^3 H) v! u: j8 r& @6 T' f
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
# Y8 C$ \5 ^/ F3 N! `! }" |; P呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。+ F4 P+ d: b6 L) A: L; ~% s
4.已经使用了第2点中的方法,但是asp类型还是无法上传。1 _9 R2 d* d5 K. w4 Q- I
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
3 p& J- _( \; U+ S8 Q后记
( s+ o l% ?1 ?1 t根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!8 k( s* j( Q1 H3 c
基本入侵基础漏洞0 p' o2 x/ E0 M5 H( ]8 Q
eWebEditor 漏洞
8 f6 i/ |/ ?' y8 _
R0 E( @2 n4 G# J0 Z各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! , {7 b. R8 I* d4 h8 f
* W6 T" ^4 m- s4 l
漏洞利用; N' C/ v2 g# ?' L
利用eWebEditor获得WebShell的步骤大致如下: { O( `( N. ]. W& W2 s+ Y9 E% g
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。( C4 H- f& u# B% A3 u, y
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。( b& f8 n; N6 I6 Y& R% ~/ _7 X
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。; b$ B* f1 ?2 _3 c$ m
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!" X4 N* k* d2 H
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。( ]1 ]% |1 H. N" d6 K- f& i- z9 U
/ ~0 l! a0 G4 w" B+ N Z4 c然后在上传的文件类型中增加“asa”类型。
$ n) f, M" S/ }6 L) B5 c9 W% V4 y& P/ a( N, v9 T1 J \
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
+ u4 U( J+ h6 `9 V! _% A: G6 A& N4 _, s& c7 Z: v3 |
! [- f. V `$ L- G
漏洞原理
: F4 n- }1 Y) t( X# |8 V5 I漏洞的利用原理很简单,请看Upload.asp文件:& i& p1 V7 P: ?4 k; W) w5 S
任何情况下都不允许上传asp脚本文件
. X8 a/ B+ F/ }) ^6 O a( RsAllowExt = replace(UCase(sAllowExt), "ASP", "")) c4 W, k1 }' \" w3 j# o! w
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
4 m/ z9 s5 G" B2 U _) {: q( U% j8 N9 }1 M! {; P7 A2 ?( }
高级应用9 v* ~. g2 z' x- b
eWebEditor的漏洞利用还有一些技巧:' y* v& z* \! c, ^9 [
1.使用默认用户名和密码无法登录。& n/ y! P" c+ Y. Q% h
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。* c" J3 u5 \3 m- i* X$ x
2.加了asa类型后发现还是无法上传。+ ]/ E+ l; a2 T$ P
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:6 `; B( r! F) ?5 F' W; r5 G& p
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")+ \6 o: ?$ l; \. ]
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。4 c9 N2 ~, K, g+ I4 @
3.上传了asp文件后,却发现该目录没有运行脚本的权限。7 l! C- j ?, m( o, ]7 _: i# v6 \
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
$ @7 D' D3 ]; F* i9 T) \) e2 e4.已经使用了第2点中的方法,但是asp类型还是无法上传。+ Q/ R: J: e! A3 k
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。 f" c6 ~- V! F
# c& Y+ `, l; z8 F# `- {后记
3 j7 R- A$ u' O7 s根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对