算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。, k9 v! {2 q. O: E3 s
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog8 R: ^- @9 I6 |0 B `! y9 ]
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
& z2 N0 G! _& R1 _% ~& s2 H1 c那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址& V) t9 k9 X7 t" t- ^- K+ R
( m/ J8 m( q+ @: u2 c4 `
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
! C( b! ?6 K" [9 W* @ w7 b属于安全检测漏洞版本ewebeditor v6.0.08 ~' f2 Z6 |% f
& t7 ?0 w) \) W; ?以前的ewebeditor漏洞:
, A( o$ M# ? B+ o( N! Oewebeditor注入漏洞
' s7 h6 W1 ~, ~$ A. `大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb& ]$ ~ z. J \% c' F' s8 f( y7 r
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话2 z" u( J; L$ [# j9 b
今天我给大家带来的也是ewebeditor编辑器的入侵方法5 ?+ f9 A, q1 _
不过一种是注入,一种是利用upload.asp文件,本地构造0 E3 B3 q0 g2 q
NO1:注入
3 K' a) [8 r2 R* t- A9 C* `5 Y1 Lhttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
" ]# S, L9 s- ^0 @3 Y8 N编辑器ewebedior7以前版本通通存在注入
K3 b& Q0 A0 H6 L7 c直接检测不行的,要写入特征字符
* A8 C1 m5 \8 I# q我们的工具是不知道ewebeditor的表名的还有列名
% P: g b$ l0 R4 @0 u1 v7 D我们自己去看看9 @& G1 b" @0 h) m
哎。。先表吧4 p: E" s ?6 R9 J9 {
要先添加进库3 p% j# e8 j2 {' B [
开始猜账号密码了
7 n+ A7 d+ w; v( o& h6 k我们==- v. m# Y$ y# b5 W) P
心急的往后拉, w4 N, C* E+ b/ k4 S' Y- P) ~
出来了
7 s! a! t" Y5 {$ A1 W[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120' a- o7 U: k' D' p
对吧^_^. F0 ]6 W) V x' Y* g4 k( I7 e
后面不说了
4 J$ c$ s: f9 X% f# UNO2:利用upload.asp文件,本地构造上传shell
) P7 l7 [/ b u- a大家看这里
' b, {" B0 j: V* |! w$ yhttp://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37: m. p* F+ c! h5 N- u& F
如果遇见这样的情况又无法添加工具栏是不是很郁闷6 q" y1 A; G9 G3 j) d1 C
现在不郁闷了,^_^源源不一般 O+ o) F( V6 Q
我们记录下他的样式名“aaa”
]+ T& D4 I t2 m3 ]6 B2 T我已经吧upload.asp文件拿出来了
1 I- B. U; X# W) [ H9 E我们构造下: g8 H3 B; g. f- B. _
OK,我之前已经构造好了. E1 d2 G5 W. D8 S8 U5 c) B
其实就是这里" x$ t- A2 I: ?$ T1 D
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
/ ]9 z- L `5 _" m5 D. C! E<input type=file name=uploadfile size=1 style=”width:100%”>* K6 V2 L! N9 y B6 v% ^
<input type=submit value=”上传了”></input>" E9 x |; p0 I8 K, J/ w7 D
</form>6 r7 Q. n% W, B+ q- w/ V
下面我们运行他上传个大马算了8 K; H( {# r9 H* |( z
UploadFile上传进去的在这个目录下; [8 D) o! @3 ?6 e, P* Q
2008102018020762.asa# h J5 C& h9 e o
过往漏洞:6 ]/ ]1 ?; g8 E4 u* C
首先介绍编辑器的一些默认特征:
( x+ h. p' ]9 N! F; E0 l默认登陆admin_login.asp
5 U" I! C6 Z9 }/ S4 O默认数据库db/ewebeditor.mdb
, r+ i% l: J0 w! _默认帐号admin 密码admin或admin888
& j- C9 J& E. [3 f: d搜索关键字:”inurl:ewebeditor” 关键字十分重要% F3 K8 c% M, C. m# \3 [2 Y
有人搜索”eWebEditor - eWebSoft在线编辑器”- x- L, h9 ^- Z. U4 l, q
根本搜索不到几个~
9 d* T" y+ I7 I$ ]baidu.google搜索inurl:ewebeditor- s8 N' W5 ?% W( B
几万的站起码有几千个是具有默认特征的~! K+ e2 f8 N1 Y3 {. G
那么试一下默认后台
) Y# V- a4 u! S j, Uhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp3 g M) u( J# g9 q( b3 O! D
试默认帐号密码登陆。1 N" b$ m4 [2 z
利用eWebEditor获得WebShell的步骤大致如下:2 f9 [# Q d' v9 P( A2 I# c; X
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
+ C4 C; u: i2 M2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。' r$ c+ y, e6 D! z- K. \- d
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。, X! i* L. |/ O# U: P9 t3 P: y* W
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!3 n9 s6 X; K% t) M# Z9 |8 @
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。: Q- j' W8 A+ @! u- R6 D
然后在上传的文件类型中增加“asa”类型。
2 c1 h' `# [4 \/ }5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
3 b8 h; Z+ O" L2 T漏洞原理
$ I1 r2 [, i( H# F* ]4 r7 D$ n1 y漏洞的利用原理很简单,请看Upload.asp文件:9 Q2 U9 W( o6 k$ s8 n1 [8 ]) a
任何情况下都不允许上传asp脚本文件% s4 }- L$ g' p6 d; s! }0 ?0 W
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)) e3 [& Y/ X {( ]6 i
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!( z, {/ J! E: S8 H; h7 ?* m9 T3 a
高级应用
- l: M3 X6 s, Q0 j( heWebEditor的漏洞利用还有一些技巧:2 t D$ o6 P* X- n8 [; V# S( d8 O
1.使用默认用户名和密码无法登录。
/ v7 ~% w( C* d, ]- I8 h, Y请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
7 J0 J0 | \* S2.加了asa类型后发现还是无法上传。
5 X p+ l) {3 u应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:+ A0 Q& ^0 ~- [0 x. {" \ b# x1 `
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)1 @& w0 |0 r* X7 j& N0 K
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。2 o# B e* D. [1 Y
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
- y+ k! ?/ v( s0 ^呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
) y& W8 a0 U. T5 z! q+ t7 X4.已经使用了第2点中的方法,但是asp类型还是无法上传。
7 W& t. k2 k; A/ u看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。+ J. y3 `3 e/ S9 @3 @8 v9 w
后记+ E! [2 ]" ?0 y" z: p
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
6 D, Z; S& Y2 o# Y6 _* d; @" o |
发表于 2012-11-18 14:24:49
收藏
支持
反对