算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。# o* F0 _& }4 v7 _
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
* [( N3 B6 T+ g6 n$ Dewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
" M, [0 ?% K2 @8 f那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
) k: C- E6 M7 N+ d1 T+ g
6 \/ b# Z! L' N2 d由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
3 N% @' r$ ?/ _% | e属于安全检测漏洞版本ewebeditor v6.0.07 B# K$ n, y) ]. I% R) u% d7 y
/ ^ D: r! z5 d: s% b5 n, {以前的ewebeditor漏洞:
6 \% F+ ?+ ^- [) D" Gewebeditor注入漏洞
/ Z. n& G* B! Z/ O- D2 L& o6 |大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
4 a' v4 V& j8 w5 y7 N5 ~2 u默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
* h; M! S$ ]; S2 V. k今天我给大家带来的也是ewebeditor编辑器的入侵方法
8 A& t/ ?: c+ W3 _: x$ Q2 S' q不过一种是注入,一种是利用upload.asp文件,本地构造
) J& s, ?$ Q6 SNO1:注入
- }6 W; G; ~+ F7 h, {" u [2 Mhttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
! X2 \5 ]* ~% `! k编辑器ewebedior7以前版本通通存在注入
5 E W/ }. ]/ p D A2 a; l) z直接检测不行的,要写入特征字符! Z. L9 J- N" _0 w! U) B
我们的工具是不知道ewebeditor的表名的还有列名
. r; L* z- I8 ?我们自己去看看% Z" P7 U" _6 u: N& Y3 i* [
哎。。先表吧) c$ @' a- Q; b: q& \
要先添加进库
. ~: z4 l4 g" e7 [) U开始猜账号密码了 M1 z$ ~- h9 W/ A4 E. E t
我们==' o* D2 B: J6 J% Z. k
心急的往后拉
3 Z8 C& x' @3 h2 {出来了
+ q# l5 T5 n0 ^/ ~# d) Y0 c" x[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120- L( ~* t9 C& E4 U5 i* i
对吧^_^, t) L$ _) r$ n) P6 O6 O
后面不说了" m5 O* l! D7 P* c. t
NO2:利用upload.asp文件,本地构造上传shell
4 i @8 x! A( d: E5 Z大家看这里0 M! w% e: t7 z9 x, |- b7 x
http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=374 b3 p" p1 T& g) N9 B8 F
如果遇见这样的情况又无法添加工具栏是不是很郁闷
: K6 L9 Q8 a# u P9 K, Q9 t8 C现在不郁闷了,^_^源源不一般
. p8 K/ j2 U' E9 P/ ^; ^9 s+ X我们记录下他的样式名“aaa”
3 s" r3 n6 M% n& L" ~! v我已经吧upload.asp文件拿出来了
# L( J; L8 F& z) t0 I我们构造下, I5 L7 l8 ~3 C( h* ?
OK,我之前已经构造好了, Z% l9 w3 Z4 E" O* a( L
其实就是这里
2 d5 N; a# K! O5 c: [<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>' {' j. x* e' N+ |
<input type=file name=uploadfile size=1 style=”width:100%”>6 P; V( |8 n5 v- \
<input type=submit value=”上传了”></input>& Z& E j) t, J: g' d
</form>( s3 ^6 o1 j9 e9 c
下面我们运行他上传个大马算了
, x( P5 w* L1 j% D- tUploadFile上传进去的在这个目录下5 }/ [! x* c1 m$ M3 O5 Z2 h
2008102018020762.asa
3 r% V5 d' L) k: h/ L+ J+ d& U过往漏洞:6 T+ J1 G, X9 f8 N; i
首先介绍编辑器的一些默认特征:
0 p8 A( y( q3 X, I6 d4 |默认登陆admin_login.asp
% }1 _$ j% V5 B/ W默认数据库db/ewebeditor.mdb
; \: E' |% \9 K4 _默认帐号admin 密码admin或admin8883 J& p! n! U/ M4 @2 ?1 R( I* k
搜索关键字:”inurl:ewebeditor” 关键字十分重要8 q5 h+ V8 y% E( x9 ?1 Y
有人搜索”eWebEditor - eWebSoft在线编辑器”
% }" m [* I P% l根本搜索不到几个~
" }$ h8 E3 t# F: C) vbaidu.google搜索inurl:ewebeditor' ^. B8 l& g! @2 G0 {2 S# \8 L
几万的站起码有几千个是具有默认特征的~" _8 X2 a5 n d0 j5 }
那么试一下默认后台
1 F: p) C2 q' C/ r6 Z; Xhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp P' q5 x% F- @' h+ F
试默认帐号密码登陆。9 L8 h# \8 q S7 W1 O
利用eWebEditor获得WebShell的步骤大致如下:* h: y m y. f* {
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
* v* c4 u4 F+ m2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。6 M2 ~9 {/ o- a" u* B
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。9 v$ r. a7 B" F0 }5 i& Q
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!& D2 S! A3 z( \3 w- c% @, l
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。8 u( [# t9 G5 l5 @! w
然后在上传的文件类型中增加“asa”类型。5 M u- \1 |) R" y# Y8 \+ ]6 j
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
6 X; ~8 o5 q( A3 f漏洞原理
p* u) e, K1 m6 `; H* @2 _2 G漏洞的利用原理很简单,请看Upload.asp文件:& e' V5 T: d8 r$ a
任何情况下都不允许上传asp脚本文件
+ K0 ]! S1 U4 GsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)* k ]2 _) I9 f: Y- L% p( K6 l
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!; V- [& [' H* Q9 U) d
高级应用( N0 b n1 t" C6 \' X' G* O/ `
eWebEditor的漏洞利用还有一些技巧:- h3 Z3 e1 D2 n+ [
1.使用默认用户名和密码无法登录。
/ s3 }% ?# r; u9 S- h请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。; Z2 A$ T! d4 P) `% f4 U; j/ [& a
2.加了asa类型后发现还是无法上传。
9 _. Q, i; y6 B, B) U6 y应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
# T/ q v& q( h- @( }- m* ?sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”) h$ i% Y, q7 ^
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
" F: r$ `8 y' V- G3.上传了asp文件后,却发现该目录没有运行脚本的权限。
( J* G8 Q& S! q- u; y3 C' x% ?6 Y呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
3 C, g- n8 T) S* Y6 b" b) b4.已经使用了第2点中的方法,但是asp类型还是无法上传。0 R6 }0 C( x/ T, N
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
+ ~9 ]4 g/ Y2 w6 G, Z' d后记
9 g0 E; R: C+ Y4 B% V% b9 M根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!# l) @# Y, \: D
|