eWebEditor.asp?id=45&style=standard1 样式调用8 @/ u) }' h M! x- t
8 S A, E, p" g
2 t: D* W: Y6 Y, k; U/edit/admin_uploadfile.asp?id=14&dir=../../..
. I, A0 A# c: M' b W可以浏览网站目录 ../自己加或者减
6 f4 G, X- v/ O; A, k b) K
8 a4 Z& X1 D* `3 c# t有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
5 h1 \* B! S1 D简单利用就是
D/ Q' S9 ` M! Nhttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
& C: L) r3 x5 khttp://www.siqinci.com/ewebedito ... amp;style=full_v200+ b$ _+ h* t& w- Z
可以利用nbsi进行猜解,对此进行注入2 N- Q% H: t4 y( P
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
; ] g% u- I# H0 i1 b这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:6 p7 k1 n) T; H, e' M
在action下面$ z$ M5 \$ H9 G X# w& @1 T
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
1 [" F7 B: @+ n) E% x% q! T<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
8 J" x0 A1 U0 w6 n- d+ ~<input type="submit" name="uploadfile" value="提交">
6 Z+ y* G5 ^' ?' ]& d0 k/ z<input type=hidden name=originalfile value="">6 ]! g: h8 c. C7 O \
</form>
$ `# y" X9 H& D' f9 Z+ X------------------------------------------------------------------------------------------------------------------------------------------------# W& J, [) |$ D6 z
<input type="submit" name="uploadfile" value="提交"> 放在action后头/ Z$ b& E& Q+ F. y3 f
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
9 Q1 z4 C2 N2 G: ~1 r/ P9 n
& z {3 Q Y* u9 W& ~; q# r. L
. d+ ?+ U6 `+ \1 M* n( j) ~6 p) u' i
2 L" J+ w( h/ b; l8 @5 r
Ewebeditor最新漏洞及漏洞大全[收集] (图)
! E/ s2 c5 e. x+ J. B, w本帖最后由 administrator 于 2009-7-7 21:24 编辑" ^& R: G8 @5 a+ @
) k! b6 _+ F( f2 @% h. f5 l/ u
以下文章收集转载于网络
8 m$ \7 z0 q5 j* k#主题描述# ewebeditor 3.8漏洞[php]
. a$ K3 D" N4 S1 v. a--------------------------------------------------------------------------------------------3 r, G/ \) r& v* v
#内容# I* |) v6 s' K7 W# L# _+ ^
php版ewebeditor 3.8的漏洞
' E$ `* |9 ]* ?% l/ u6 B' Pphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
/ {* s. d2 M: R( |# F; N/ R- M" k1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
. b. \3 o- D' N/ f5 {; E* p) S2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了& U" a4 f* ~8 C7 q
3 后面的利用和asp一样,新增样式修改上传,就ok了/ F3 @/ V' Y' e& U
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
3 n, n2 g* T1 Y9 M3 |- `aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell! j& t# @8 c: b) b3 l7 Y
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了2 e+ k) B0 e6 G# ~3 m2 Z, s
--------------------------------------------------------------------------------------------5 e( R5 r" i5 t1 ~/ ^
2 J3 M% ? B1 h+ T% P
3 p, c$ K. I1 u
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。, O' A4 G' w+ e+ V
, j$ E7 n+ p5 V: v: x) K& n6 P6 l" s漏洞更新日期TM: 2009 2 9日 转自zake’S Blog) [ @: z2 X8 ~& |& K, v
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
/ p6 V$ t* j2 Y那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址4 X) F# c3 `1 x: M0 V2 }7 d" i
0 Q0 U7 C, H K/ C8 y' M. V& z; L' ?- }3 W' h
然后确定以后,这里是最关键的一部!; k+ h# L H1 W# ?1 o' v7 [" o
这里点了远程上传以后,再提交得到木马地址3 d; i9 f2 E% y, D& b
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限' F% P6 P. v- K& T; p4 W
属于安全检测漏洞版本ewebeditor v6.0.0
+ v( q! `# c% z( p* \3 O
; G! Z! C1 u& l7 \; y( b以前的ewebeditor漏洞:* G5 |- ]. Y; G7 H1 a n
; u1 X/ F% ~5 x4 o
ewebeditor注入漏洞
3 O- Y5 w9 y% @2 W/ l3 G) g. ] n7 c* z5 K
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
: Q8 g4 v$ r+ S! F% ^/ z" z" w默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话; \* z8 x; H: N0 S
今天我给大家带来的也是ewebeditor编辑器的入侵方法: u3 i2 h e9 O+ x
不过一种是注入,一种是利用upload.asp文件,本地构造% |) t- }( ^' d8 z% _! J# ^* j
NO1:注入: e, s3 r- ?* H/ h# Z5 {2 r2 d
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
0 J# \2 D4 X: N8 I9 T' T, X" D* Z编辑器ewebedior7以前版本通通存在注入7 H4 A0 @. H8 I+ R9 R
直接检测不行的,要写入特征字符
( h4 g( n1 E Y7 y, h% Z4 b我们的工具是不知道ewebeditor的表名的还有列名! b& ~( a# ^+ _
我们自己去看看3 o& Y# E+ T p1 z m7 F. d
哎。。先表吧7 x" s' i* b/ J) w1 G5 C
要先添加进库2 W; b! f. S3 |
开始猜账号密码了* R& `6 d/ ~+ z1 `) \4 t' Q) D& A
我们==4 w+ m' s9 U7 B0 o
心急的往后拉
" k8 g: s, [. K# V3 A7 @& N2 o- J# [出来了
0 y+ O, O! j$ E3 d[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120" m' F: W) A2 [8 B3 C. d, J" [
对吧^_^& C1 e8 E* e O" G6 Z& L. D
后面不说了7 N# ?" y1 B, X6 m2 { k
NO2:利用upload.asp文件,本地构造上传shell# Z- A. m+ ~0 P/ s
大家看这里 P, L" N3 `3 N" o7 l2 Z* J
http://www.siqinci.com/ewebedito ... lepreview&id=37
* u$ S0 ?% g( F+ J如果遇见这样的情况又无法添加工具栏是不是很郁闷
6 M9 X" @; f* s! T; A8 U现在不郁闷了,^_^源源不一般5 C8 n' t! W; f3 r9 d" r
我们记录下他的样式名“aaa”
1 v+ d+ D; |) q( x, ?我已经吧upload.asp文件拿出来了. y8 H8 V5 L4 F: C+ y3 ~0 V" t
我们构造下9 \" `) c5 h, k, f# ]
OK,我之前已经构造好了
: N- U" g! W, N7 {# X4 @9 e q& G其实就是这里6 X! d. X$ s: d J
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>) `% G1 K& X4 ~
<input type=file name=uploadfile size=1 style=”width:100%”>7 G/ @! m4 e' d7 d9 s
<input type=submit value=”上传了”></input>
]1 O6 B0 r. P% q</form>
- q. [2 K- C. A4 U; M% V6 u) _下面我们运行他上传个大马算了
- t5 g2 D* y% x" S- l1 G6 s* k7 aUploadFile上传进去的在这个目录下3 t% G$ m$ ^* y2 I0 a2 a" J5 n
2008102018020762.asa
# N; C h, g4 r3 g) E9 ?9 x1 e. L0 V$ M, J8 t, z
过往漏洞:
2 A+ ~ W% b/ k+ `( p- P0 h# N( W/ }
首先介绍编辑器的一些默认特征:
- Q- \, D+ L W9 l l, Q% ^默认登陆admin_login.asp; V' |$ N% g. F! I3 c) R; \
默认数据库db/ewebeditor.mdb7 T. K7 z# J* @' P k7 b
默认帐号admin 密码admin或admin888
9 ^" `, u, F$ W" D% }' R0 I搜索关键字:”inurl:ewebeditor” 关键字十分重要
# \2 @: L% J. d3 F有人搜索”eWebEditor - eWebSoft在线编辑器”. Q. b5 Z# {: P# J1 ]' H4 w
根本搜索不到几个~
& H% Q1 P% C( S5 _( Qbaidu.google搜索inurl:ewebeditor. m5 S ?/ c. c
几万的站起码有几千个是具有默认特征的~# E1 _( |& U4 S9 T: E) L
那么试一下默认后台
( ?) f4 V; r" `, L. u( Lhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
% t9 }$ G5 h: R; q# [* G试默认帐号密码登陆。
! g$ I3 |" R' g* m1 j" T, u利用eWebEditor获得WebShell的步骤大致如下:/ {1 Q0 ?! l. Z# L2 S8 e
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
2 ]6 s* i5 r2 K* C4 \+ i2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。. U' U" ?6 @/ Z; D: ^% M7 L+ \5 }
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。* b$ R+ c4 ^7 o9 ]) n7 s
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!( x; H" z8 I5 a, |0 K
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。( t! O9 V6 F/ F2 @) ? z4 {
然后在上传的文件类型中增加“asa”类型。0 Z+ x' g$ G5 M
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
3 O5 Z" X4 [- h+ O2 q9 L d漏洞原理0 _& s' H; d$ F( o
漏洞的利用原理很简单,请看Upload.asp文件:# t; K. Q" Y. C9 i. U
任何情况下都不允许上传asp脚本文件
6 `5 X" g7 G: b$ KsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)0 Z6 W6 v" F/ C; w7 h9 s
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧! t- A$ F: @/ D, E- D- \5 \; W
高级应用+ t, W6 C% i7 @; Q+ N4 X
eWebEditor的漏洞利用还有一些技巧:
8 H8 e. `" h. y+ N; L% e5 k1.使用默认用户名和密码无法登录。
/ {0 M. s1 w; u. p) _请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
# G2 _4 S9 {8 E# w$ V$ u5 b2.加了asa类型后发现还是无法上传。# J$ b; W" \" |5 p
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
3 m# q" R; R5 {/ D$ N0 bsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)% ^6 U/ C! m) a+ ]; X0 t h
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
: F; d$ t+ } p, p3.上传了asp文件后,却发现该目录没有运行脚本的权限。! Q6 h+ D% J. { d& T
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。, G. S, r s% e# N4 G' ~# \
4.已经使用了第2点中的方法,但是asp类型还是无法上传。- M8 d- y4 F4 v4 q
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。# T7 ?) E& ]. n5 I
后记) Y0 D) ^1 i$ B& R8 [) ?7 X
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
( ]+ O- q2 t& I- E4 Y) K1 c基本入侵基础漏洞
3 M! ~$ G/ j' J0 ?7 b& y) xeWebEditor 漏洞
* G$ _ S7 ~3 C. o2 E2 r# W9 N( c/ _* Q% V4 P
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! 4 E1 W3 ?$ Q1 ]# j4 @ o% u2 \# I
4 O9 {- D9 K# l8 S漏洞利用8 T4 ]# b' j4 ^7 Q
利用eWebEditor获得WebShell的步骤大致如下:6 m2 g3 T( i. {' B" X
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。& R1 ~0 F. F- w% q* C) t
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。: \" y2 e3 k6 ^: X* V# Z$ a
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
- z0 G9 l) N; G9 M' |/ I% o1 j如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
5 `/ l, t% J$ Q6 k+ _8 h6 C) K3 k8 ?4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
6 ?' ^9 U3 k$ h$ V" f$ X+ P) O; E- k
然后在上传的文件类型中增加“asa”类型。
5 O# d$ Q5 F4 P- b+ A* u2 _8 [3 C2 z% r8 a: \/ Y2 ^+ E
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。, q+ K# ~; }# V9 J; O; f& h
: w: {. L1 f! H: ~* O
2 ?8 s% [# B$ T; Z" g q" ?漏洞原理. u" d# t5 D; r; O
漏洞的利用原理很简单,请看Upload.asp文件:+ F0 Z' K" y; l8 `% c
任何情况下都不允许上传asp脚本文件
: q; {0 x7 X, L7 s. @sAllowExt = replace(UCase(sAllowExt), "ASP", "")
) d) n' V% Y& h8 L% o因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!/ i3 j$ \6 H8 d% _4 C' R* l
* y' I) V2 h) w* s- s6 {高级应用
. w% F1 g/ k7 f' v# ], reWebEditor的漏洞利用还有一些技巧:
- a4 ^5 q" d% O7 D4 W- Q0 j+ F1 Z1.使用默认用户名和密码无法登录。9 L1 `( T# Z& s q5 F" }) o i; n# w
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
- D r: i/ s9 L' O. c2.加了asa类型后发现还是无法上传。
% p- X. @) Q) J4 r' q9 s应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:0 v( V0 Y. V9 E, p% p+ G- [0 N
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
& U2 d& ]# _4 K5 b2 j4 u猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
7 C0 v. Q6 e# S; g3.上传了asp文件后,却发现该目录没有运行脚本的权限。
3 v; [1 V/ ^ P呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
( c1 C% B4 K0 F8 `4.已经使用了第2点中的方法,但是asp类型还是无法上传。
2 F) @! U2 L+ E0 K* u" J看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
, P. w( d9 W) Y* L0 X6 H" m
4 K% F: Y, L/ R! `) y& n) f后记
) f. e% h& s5 ~- U根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对