算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
$ ^1 t5 N* ]6 q) X+ }6 K3 L2 N' x漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
- [% R7 T4 v" B+ zewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了) v6 z" [, ^' g5 ?& N
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
. Z& F2 p) ?2 x- B0 @: i0 e" k+ l. q2 Q! E
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。' S) i7 S$ a! e! W r
属于安全检测漏洞版本ewebeditor v6.0.0
. `, i+ B, u, ?( b) |% j: J; e
. x& U3 g, n1 w8 x) R/ k- S以前的ewebeditor漏洞:
# g% \6 k, S3 aewebeditor注入漏洞
" I, y7 O6 K* _* Z/ X' ^大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
$ O* U& X9 A9 Y. @9 k默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话9 D* \- ]0 |4 D5 e5 A& [7 r5 P, I+ B
今天我给大家带来的也是ewebeditor编辑器的入侵方法/ t" R" k$ p4 n! E% w3 J7 O
不过一种是注入,一种是利用upload.asp文件,本地构造4 _4 E& y* ?) h$ r! u6 ~9 I
NO1:注入
: [$ D/ }0 ~# Ehttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v2004 g0 J3 G' E* w' y5 T7 ~
编辑器ewebedior7以前版本通通存在注入
3 `% ]" R0 {5 j' d+ o直接检测不行的,要写入特征字符! A4 K; [& }7 k) ^6 Z: G
我们的工具是不知道ewebeditor的表名的还有列名' \2 u2 p" O5 E4 y9 M0 I {5 p S
我们自己去看看
$ c) Q9 K6 s( j1 s哎。。先表吧
! t I% M" ~5 M& K# t要先添加进库+ q0 { h3 p( }6 e3 {6 p
开始猜账号密码了; F5 G U' K$ [8 w8 u
我们==
- o% j c- S, o& O4 h心急的往后拉
0 {) o# j; q. C* D- ^出来了
9 s9 B/ K9 `, J; y6 H0 p2 Z5 s6 g7 R[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511200 c- W$ w. {1 o% D2 p
对吧^_^/ Z, t7 o3 b* c. @ D
后面不说了
8 x8 A% h2 B1 y& m; V4 z; ^' L9 nNO2:利用upload.asp文件,本地构造上传shell& ]( _) e* J' N ?; y- A
大家看这里
d/ E ~9 J, h. T. I ?http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37% W/ w& w$ ?4 t6 {/ W
如果遇见这样的情况又无法添加工具栏是不是很郁闷( ?2 [+ Z5 w p( c6 X7 B+ K
现在不郁闷了,^_^源源不一般
/ _* x1 f+ I( p$ k) T1 D我们记录下他的样式名“aaa”
; |: P* i! G; Y' E: {7 w$ O我已经吧upload.asp文件拿出来了 n. A. ?8 e0 {$ P6 B6 S$ d6 g. J
我们构造下# U( R: C% [0 Q0 F
OK,我之前已经构造好了/ [. P& b5 j% M* t
其实就是这里
5 D- N( J9 `" G& e# n! |<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
. F* X: e1 F6 T6 i: W<input type=file name=uploadfile size=1 style=”width:100%”>
1 s0 o4 A; e; Q4 O: p; `4 P<input type=submit value=”上传了”></input>
( W0 }+ m, m o8 _# K! k</form>
. {3 D* n( E$ G, _下面我们运行他上传个大马算了4 l; Y1 C# u1 M9 C
UploadFile上传进去的在这个目录下
' M$ I# U* ~8 `# ]/ \' P4 q7 e! y: Y2008102018020762.asa
7 T `- ]6 e: {4 ?' D: q过往漏洞:
. N \$ v1 j) ?, h- K1 x O; l首先介绍编辑器的一些默认特征:
2 g4 x* X8 a* H M. h( z默认登陆admin_login.asp! n$ ]& r; I" U' H v
默认数据库db/ewebeditor.mdb% e9 i4 @: ^+ {* t) ~2 w" P
默认帐号admin 密码admin或admin888
$ g# }5 q4 E! X: W s2 k搜索关键字:”inurl:ewebeditor” 关键字十分重要
* T' ^, z/ l: u' a- W4 H( w+ s# T有人搜索”eWebEditor - eWebSoft在线编辑器”( n! ?: \# G) @' y6 @" D2 C
根本搜索不到几个~. M1 I: b3 k! h/ M5 ~7 ^
baidu.google搜索inurl:ewebeditor
9 Q2 p+ J* @( n0 k. [& V几万的站起码有几千个是具有默认特征的~
- \. U6 I( p5 x/ k7 }那么试一下默认后台$ W5 j1 s1 t5 j" b! z2 Y" x5 T
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
" K6 G. Y1 v9 s( ?, ]% r# `试默认帐号密码登陆。) E. \- w/ a' ?
利用eWebEditor获得WebShell的步骤大致如下:# w1 |6 L, R/ U0 e
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。4 l1 `/ ~& U0 y" }& N2 s
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
2 w+ P y. ^1 n1 m( a f3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
' S6 S* j& v6 N% ~9 Q( i如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!3 `% _7 x9 k3 ?$ P. P5 P$ G4 Y
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。- x$ ]$ Y/ q/ I( V) ^$ `: X4 H
然后在上传的文件类型中增加“asa”类型。3 R+ |; M) n' D* P1 o
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。6 e. I3 f) h0 m) z/ |9 l
漏洞原理1 S1 [) @/ s/ x1 a) I. `4 b! K
漏洞的利用原理很简单,请看Upload.asp文件:4 B9 o* ]- D- ?, S
任何情况下都不允许上传asp脚本文件
$ W, g8 M, N$ F- K+ G4 |" }3 ~sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)4 J# a# m& i$ I) V9 y K' I
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!" T0 t3 W: C, @. i; }
高级应用+ o* l- s" U4 n, m+ X9 A& M
eWebEditor的漏洞利用还有一些技巧:0 H0 C' ?1 p% _0 s& L- q8 [
1.使用默认用户名和密码无法登录。* ?9 X2 j& k+ b! f6 x0 Y9 ?
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
0 _1 @& d9 S- x/ s9 z g2.加了asa类型后发现还是无法上传。
% d0 i8 T5 |/ I4 C9 V5 \应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
. O% Q0 T! D: y" E# }, rsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)! S- C" I+ j8 D
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。* C' v3 y$ |6 `0 ]+ v$ b
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
2 {' ^0 i) U" p7 _! m u呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
& T* x% S( M& h# Z4.已经使用了第2点中的方法,但是asp类型还是无法上传。
, L# Z# ` |8 j/ ]- a看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。7 p p: H4 B& D
后记
9 Q0 d2 k' g3 V' ]6 ?. X根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! B1 z) T% Z6 k$ U; O4 f- _2 p
|
发表于 2012-11-18 14:24:49
收藏
支持
反对