算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
% a8 s4 P) n8 A% |漏洞更新日期TM: 2009 2 9日 转自zake’S Blog6 f' X+ a) b. m% F( `
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
* g0 S. j& |4 `6 K8 V3 I! J1 G1 x那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址- J! s5 R5 e2 G6 N: y" O7 z% C: B
" f @2 S* v7 M
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。+ n$ F+ g/ W9 {4 C5 A) z- N
属于安全检测漏洞版本ewebeditor v6.0.0
- \' |6 Z2 N( \- Y+ h- B1 m" _- m9 E# G2 ~/ s7 e
以前的ewebeditor漏洞:; \1 N& A2 E! ?
ewebeditor注入漏洞
n% e, C9 T9 P: A4 ]' A; I: g2 |大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
5 K# ^: v# }2 i默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话) ]+ N# c* P) G+ P- t
今天我给大家带来的也是ewebeditor编辑器的入侵方法
3 K. D$ a2 L' y/ F4 }不过一种是注入,一种是利用upload.asp文件,本地构造
4 H) E5 C, U# m0 a$ \NO1:注入
8 S: K% m. |& Y, ahttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
9 O8 F$ j0 O: e; P: ?. P编辑器ewebedior7以前版本通通存在注入
5 l6 H3 j% P7 J直接检测不行的,要写入特征字符
* W O( x4 J/ _4 ]4 [. G我们的工具是不知道ewebeditor的表名的还有列名1 z( c% z- c, u0 O+ ]5 {5 X
我们自己去看看
$ y& L# `4 B. A哎。。先表吧1 ?. A. n, S2 h/ @
要先添加进库
. G$ Q' g& \* ?1 X3 B/ u开始猜账号密码了
k5 @! t0 O. j我们==
- p5 j1 p7 u3 A2 J9 J" z9 f9 m3 @心急的往后拉8 S! M( F% m' F
出来了" w0 r! N% s- e! G
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511205 H" E p, i6 a% Q, V7 E
对吧^_^
* M# L/ m5 F0 I8 I. j' \5 H& `后面不说了
. V' O! P+ y) |NO2:利用upload.asp文件,本地构造上传shell* D. M+ n) W2 e. |6 c: r
大家看这里- A- _# C% w3 d8 G; G& u" R
http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37
+ \2 c3 ]! T2 e+ L, y如果遇见这样的情况又无法添加工具栏是不是很郁闷6 [/ z1 G& n7 ^1 O
现在不郁闷了,^_^源源不一般
6 v( d: h5 v8 f* Z我们记录下他的样式名“aaa”; p8 t9 k5 s4 h6 y
我已经吧upload.asp文件拿出来了
0 b2 h% d+ J: y" r0 n* s我们构造下
8 t8 \2 S5 j2 g) B) ZOK,我之前已经构造好了3 X1 ~/ C4 f T1 w# k! u8 P/ h
其实就是这里
8 u+ ]3 v, q3 M<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
, C7 O6 F# t' N4 X2 ?" k! T: o<input type=file name=uploadfile size=1 style=”width:100%”>
: t* r% l5 w; g3 ~7 w! n% Q$ i<input type=submit value=”上传了”></input>
. v! U7 ~$ z/ n& K3 w o5 |: w</form>( y6 F' ^$ p% k3 F# G5 W/ e7 C) S
下面我们运行他上传个大马算了+ j: l6 \5 J/ Q4 d- k& R6 F( e
UploadFile上传进去的在这个目录下
, w* D5 P7 r' h W2008102018020762.asa9 o/ e6 A k5 \6 u
过往漏洞:$ V2 w: {' L: l2 c) V# G
首先介绍编辑器的一些默认特征:
1 _5 W4 f/ X6 B默认登陆admin_login.asp
5 z4 ^2 d7 ~. x# o$ G6 V默认数据库db/ewebeditor.mdb5 a3 k3 W0 @) F1 l
默认帐号admin 密码admin或admin888
G8 Q0 f; t! e" h7 R0 P搜索关键字:”inurl:ewebeditor” 关键字十分重要8 w3 O/ |% Y% H- G
有人搜索”eWebEditor - eWebSoft在线编辑器”
( e7 S; V* h# u根本搜索不到几个~& S- `- O- r" C
baidu.google搜索inurl:ewebeditor8 G( Q7 c7 T* f
几万的站起码有几千个是具有默认特征的~
' s- D: R- C) p8 B( X. B' L3 w4 k那么试一下默认后台& v" H0 O# L5 P4 f* b, r
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp3 S4 y4 n2 Z. F8 w. I1 ?2 c
试默认帐号密码登陆。 P5 U! L+ k+ {1 G% X6 c
利用eWebEditor获得WebShell的步骤大致如下:
( s) t/ z, R# H5 r; }9 \1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
0 U4 L" {+ Q+ T+ H ^2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
5 y9 J; N0 q1 C3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。8 C& F% [2 i4 q' g6 i/ w
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!, M9 l T' a! @! ~3 J$ h' V6 L
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。& [3 }% W5 D8 ^% s5 E8 l: J% O7 \7 h1 |
然后在上传的文件类型中增加“asa”类型。
* L. e! i3 x/ Z2 D5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。( q0 @; P/ K" K- g
漏洞原理
' l8 S: i% a6 b0 r漏洞的利用原理很简单,请看Upload.asp文件:
) P: \9 G* |) F3 A- L任何情况下都不允许上传asp脚本文件
: s/ g& U+ j) p* ~9 E0 }/ msAllowExt = Replace(UCase(sAllowExt), “ASP”, “”), _8 Y: D9 c# f1 `
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!% |9 H9 \2 `) J% s8 l2 ?& @8 M& l
高级应用
! d4 m% a/ A2 E( EeWebEditor的漏洞利用还有一些技巧:
N! V( t# e6 U2 S; M1 Z1.使用默认用户名和密码无法登录。
1 ?' b8 s8 F; N) v, ]: o6 Q请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。# B; ]+ |' ~) z- ~% G. j- t; N
2.加了asa类型后发现还是无法上传。9 _) c: V( m- w* m
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:* ?& I3 ^4 q/ @; \4 M X0 ]
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)6 D' r' h4 D4 \6 o- u) D) ~6 @
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
: N2 k0 R m& d; V; |3.上传了asp文件后,却发现该目录没有运行脚本的权限。 D6 B5 j( ?* W, k
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。- F, j; s1 t7 L& u+ Z0 W$ a) }; T, y! [. _
4.已经使用了第2点中的方法,但是asp类型还是无法上传。! C5 B0 C6 `) P1 W- N
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。1 L0 H% b; O9 Q, l7 v
后记
u" p1 d" z! l) N' n8 @5 g根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!( g: X' t& J0 i
|