算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
h% h1 `2 s+ |$ ]8 s- s1 i# l漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
4 ]( r) I" X9 W' I( D# L* mewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
, v* P7 R. w1 _1 t* \那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址4 \0 f# s) v2 V# n9 A0 o
. a1 E6 l' W& p" G9 R9 T2 `/ M( l由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。% t/ b2 U* _9 b; w3 r- M0 G Z# t
属于安全检测漏洞版本ewebeditor v6.0.0* G4 n! P4 {( F9 Y( e
t) p7 N4 ^4 m% _: i0 J
以前的ewebeditor漏洞:
+ p7 q- m `9 {/ O% ^+ H P/ Tewebeditor注入漏洞
0 k C& ~3 W+ n1 z) D4 Z$ Z. e0 \大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb/ _2 D: Y* d$ Y" v
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话3 z3 k6 d y- p; D8 k
今天我给大家带来的也是ewebeditor编辑器的入侵方法1 z U$ \$ P1 h
不过一种是注入,一种是利用upload.asp文件,本地构造
2 x0 U* d" A! e) s* z4 Q. cNO1:注入
7 K [1 f0 \' Q8 m( Shttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
: A$ s8 r1 L& L% W1 N# |' E编辑器ewebedior7以前版本通通存在注入5 m$ r8 q+ W2 ~
直接检测不行的,要写入特征字符) p% J( x5 X% @0 W5 U+ h6 ~
我们的工具是不知道ewebeditor的表名的还有列名
4 a6 I0 K" G7 V; g [% v2 O# [5 o r2 [我们自己去看看) O2 M' S: J& ]
哎。。先表吧
1 d5 O, [9 E+ c7 d- w @要先添加进库+ `- Y x/ v! H6 w+ ~
开始猜账号密码了* O* W) O4 i8 V9 l1 D, C
我们==
. c3 B- t3 q3 g; j心急的往后拉
' V% n& ?; e* M出来了
! b5 a6 e7 ]7 x1 Y4 ~7 D[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120# M7 ~: s5 h4 d. s( R3 G: Q8 _0 V, n) T
对吧^_^
3 x* [. I$ P" U, |, o% w$ K+ n1 T: h6 P5 d后面不说了, _" @ L/ F) A7 t% b
NO2:利用upload.asp文件,本地构造上传shell
8 O, X: n; I {" p0 X I* W大家看这里
, I% U7 |$ N% \9 {http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37
. r: a1 R# _' A$ t" R如果遇见这样的情况又无法添加工具栏是不是很郁闷
# g( N3 h# D: L1 X现在不郁闷了,^_^源源不一般) F m1 C0 b; j! ]
我们记录下他的样式名“aaa”
: X- j" X. h8 X& F! ^. S我已经吧upload.asp文件拿出来了
" h# r5 V" L5 ~7 q9 `0 v. D我们构造下" X- e8 U% }% `* Z
OK,我之前已经构造好了
# a& t6 |) Q5 u( c% ^6 ?其实就是这里
6 k/ ~! v% S8 Q' R6 b5 e$ q<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
; M/ s. F: W* \" B/ D<input type=file name=uploadfile size=1 style=”width:100%”>; C) n2 J' F2 x! Y2 \" X; Z
<input type=submit value=”上传了”></input>. C# `( w1 t/ s4 |) l8 S
</form>. d0 j1 ^" z. m+ u. E
下面我们运行他上传个大马算了
- l# v$ `$ Z, ?% r+ {UploadFile上传进去的在这个目录下
+ G6 h8 D5 g: @" v2 m2008102018020762.asa
! U/ l( @$ E. ^# D过往漏洞:6 u; C4 W; e8 K u" d U
首先介绍编辑器的一些默认特征:6 r$ a4 s- n7 z( @0 j; I: c4 @0 Z& r
默认登陆admin_login.asp
+ M3 X; M% d. ^4 a9 ^默认数据库db/ewebeditor.mdb2 Q6 Q/ q$ Z/ q6 c4 ?
默认帐号admin 密码admin或admin8888 C0 z% ?$ Y1 ]. e. o4 ?
搜索关键字:”inurl:ewebeditor” 关键字十分重要
7 v$ P) j6 D) [: m( i; k' {$ p有人搜索”eWebEditor - eWebSoft在线编辑器”4 W/ V t7 c5 [( d2 |
根本搜索不到几个~
; Q5 X$ x3 r: c J+ r/ Kbaidu.google搜索inurl:ewebeditor1 i! ^5 S% u# m+ Y
几万的站起码有几千个是具有默认特征的~% r& w" z5 H# j$ _2 s
那么试一下默认后台
5 j% l+ H0 S% D3 |: C( v" nhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
$ J) D3 w2 t1 Z# \6 ]. I$ z0 w试默认帐号密码登陆。
( k5 \. ^7 j9 j: C7 v利用eWebEditor获得WebShell的步骤大致如下:9 }' k& ]' m# [3 |+ l" e7 c' I
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
% g5 D9 ^( n$ R5 h" w) A B2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
5 d. S* k* {; j% p; K4 Z3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
- o' A* c D2 q如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!, h+ A! }" I. v6 t( ~- J" R) l2 X
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。: B7 t$ `5 M$ d6 E' Y
然后在上传的文件类型中增加“asa”类型。/ H" ^# p( t7 ~% q' Q: }1 v1 e- H0 M
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
" A! a8 D3 b% C/ w5 S' T漏洞原理; \" p4 b- I) l$ t" p/ A w
漏洞的利用原理很简单,请看Upload.asp文件:
+ w# L: r1 Z; C% I, n! b) h' ]任何情况下都不允许上传asp脚本文件6 X! C; ?( G/ Z$ N
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
8 F- Q" r1 f1 D' {- c因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!1 H2 m# {) [& }! x: \
高级应用
1 F& j1 a4 D' jeWebEditor的漏洞利用还有一些技巧:
+ S( x! `7 M y0 l# s1 E1.使用默认用户名和密码无法登录。
, K& Z2 x' z$ _) e3 w请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
- I7 J8 ^, r! l) ]8 Q2.加了asa类型后发现还是无法上传。# q: X9 e# D7 o% `2 s6 k. X8 v- g
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
$ \! c! f6 @: o1 ?sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)8 P1 n8 V) i$ r$ ~/ `
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。- P' j: O4 H2 F1 k; B8 E" o
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
" N$ K/ b, [, g' Q+ _呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。" C6 v$ X/ [+ f. V1 }! i
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
1 ^7 ~2 U' ^7 Q4 `# F看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。 F: L# D/ _2 T: n$ M' r+ j( N/ g
后记
, V4 t; n' h; p7 N+ _( ], T根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!) H$ v8 {8 p5 {& d6 n5 J* I1 o
|
发表于 2012-11-18 14:24:49
收藏
分享
支持
反对