eWebEditor.asp?id=45&style=standard1 样式调用& I0 l5 ^1 J: b+ O4 F6 Q1 `8 ?
1 Y& h* k: N2 T+ P5 Q0 ?. O% ]
0 L( y6 k, N5 K/ q) A
/edit/admin_uploadfile.asp?id=14&dir=../../.. O% m O8 u& J5 {5 X% ^( [3 b) m
可以浏览网站目录 ../自己加或者减6 P3 P+ Q5 m1 z; b$ G
# r4 z; @3 {. }$ x6 ~/ u有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
6 g3 n' n% V3 J ~简单利用就是
# `+ Z/ X% D9 D* D* y1 shttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v2006 Y6 |/ l) N& s Z/ T
http://www.siqinci.com/ewebedito ... amp;style=full_v200& N& r, Q. `( ]" b9 O) y* Q2 W
可以利用nbsi进行猜解,对此进行注入0 ?6 _1 m4 J4 Y9 k% E
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的/ |, B- J5 k: i5 D! T8 f
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
' b: y M+ a& v# w1 a' ]在action下面
$ W3 r5 R" c5 r- ^<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">/ y2 ~+ X0 a8 x5 Y# k
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
G* i/ O" \, D' T T( F<input type="submit" name="uploadfile" value="提交">
& T# h5 z5 l4 l; Q<input type=hidden name=originalfile value="">! j' I( J9 e* E9 R
</form>4 Z( S r$ g) D1 D4 k/ P
------------------------------------------------------------------------------------------------------------------------------------------------+ Q ?3 n& E( ^0 I
<input type="submit" name="uploadfile" value="提交"> 放在action后头
6 t+ v9 d$ P2 e+ @* h,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。7 X' L9 {, m# l8 @ i, G' d
D0 T. t) x- F E- R) p" p. v
# u @$ l. E3 _3 S+ V# b3 g) t
7 x" `' @5 c$ g' R
& U7 W& K6 ^$ o U6 y/ bEwebeditor最新漏洞及漏洞大全[收集] (图)7 w i8 Y0 ~$ }. `
本帖最后由 administrator 于 2009-7-7 21:24 编辑
& E8 q* j' U& @ `) z+ o% r0 \1 C! F3 b, {- x8 \
以下文章收集转载于网络( w$ ?7 T; s$ V# N
#主题描述# ewebeditor 3.8漏洞[php]
0 S/ \( w! j7 T1 o9 x' u5 Q--------------------------------------------------------------------------------------------" T; Q6 ^5 c5 h! ]. o8 i9 U7 P
#内容#
3 H* f" S! f: C* s1 }php版ewebeditor 3.8的漏洞5 o) x3 Z" m2 K2 m- z5 ?
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:7 T2 u: m& W! V% c: F
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,' c; \) X x8 X* L8 P
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
8 @$ ?" y- \ Y2 Q2 |9 J6 n l: {3 后面的利用和asp一样,新增样式修改上传,就ok了, g( R. H# n, F( X
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
" J% ?/ E& F' l; [& Q* }+ ]aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell0 n6 B9 y3 N1 O8 y1 U/ _( f; a
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
. Y+ J% A' E. B# f4 i) n--------------------------------------------------------------------------------------------
. ~6 \+ X+ ^' ~
5 I; T2 J, P L* F! {- H2 U a, Y) {8 W" O
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
3 p _1 x, M( F8 N. E" M& I9 p
% A! G1 e- L! \: ]$ G% U漏洞更新日期TM: 2009 2 9日 转自zake’S Blog' {: i& _8 T, e5 ^# Q/ K! E
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了3 |* ^) s3 S9 g
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
! E' a) G% [; ]* d# w( e% {! X4 E+ Q( M; {) O4 T9 ]0 [0 y! ^) P1 M( u
* s& V. c! g$ \' c然后确定以后,这里是最关键的一部!
0 c& X- V8 u+ @- y+ ]5 O: j) b# ^这里点了远程上传以后,再提交得到木马地址) e- @$ c1 w2 r0 ?7 ]" O( S
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
( E; o8 I- K, Z3 A3 u属于安全检测漏洞版本ewebeditor v6.0.0) ^2 t9 b( V( K3 u6 P" I8 _
; f; |* D0 \2 U0 s' g) a以前的ewebeditor漏洞:# j# S; s! @6 R# i! D) [2 P& ?
6 [* x3 a) X' s0 dewebeditor注入漏洞
- w1 P+ E* t# W. w3 k
" R$ A" W( N7 |7 G2 _6 z9 n大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb8 P( V0 _8 D6 w( c4 K, X
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话1 b3 M- b; t+ ^- ~; [* K. K& _5 a" J
今天我给大家带来的也是ewebeditor编辑器的入侵方法
+ j- H* O& ]" `3 L7 `. Z6 M不过一种是注入,一种是利用upload.asp文件,本地构造
% h* f1 R# P+ oNO1:注入# s. Q9 C2 q: D$ ]( P
http://www.XXX.com/ewebeditor200 ... amp;style=full_v2000 ]7 |) o0 {( K9 w
编辑器ewebedior7以前版本通通存在注入9 ]$ X- O2 t a D* }
直接检测不行的,要写入特征字符, P' K$ @8 _4 M8 C! `: _$ A
我们的工具是不知道ewebeditor的表名的还有列名
. `. G) d* n" m6 S0 v' A' J我们自己去看看
+ Q3 N3 W, Z7 {$ Q! J哎。。先表吧1 P: a( O2 r0 b7 P
要先添加进库
$ ]+ ]! D2 ~, F* s( o- O- |开始猜账号密码了- }# I) x5 @, S7 h' W1 Y1 o
我们==/ O. U/ e" R2 @$ [0 P
心急的往后拉3 B Y( E6 S; `5 u2 ?: I
出来了
9 U* W r) `+ N7 p: T[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
6 ?) d3 a* q3 u1 }) b对吧^_^+ Z3 Q3 T1 I5 V3 h' R& `
后面不说了4 y) H$ n/ J. a
NO2:利用upload.asp文件,本地构造上传shell
8 m6 e$ V/ m$ Z' K大家看这里
) t1 E1 |* \' o* nhttp://www.siqinci.com/ewebedito ... lepreview&id=37
2 Y% q6 P+ ~" y% r1 _如果遇见这样的情况又无法添加工具栏是不是很郁闷
) V* e! R$ x% Y现在不郁闷了,^_^源源不一般
C' U; C6 w( `! l S我们记录下他的样式名“aaa”) F5 w* q- w% {& }+ P
我已经吧upload.asp文件拿出来了. L& ~. ]- S) C6 `. U
我们构造下
6 |" g) Q0 e* D8 o; i4 _% zOK,我之前已经构造好了
; H/ P& V- ^+ F/ Y# O+ u. u$ @, [其实就是这里; b8 y9 V- Y" ] w2 Y
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
# P, B- r' ?& I, X, ~$ g3 O) {<input type=file name=uploadfile size=1 style=”width:100%”>
+ P8 b: N( \$ W S7 y<input type=submit value=”上传了”></input>
, |/ H j. s' G</form>
! t5 x, @ _3 x" Q. k5 b! c! G9 R下面我们运行他上传个大马算了* z: l, n# y4 W7 |0 j! }6 M
UploadFile上传进去的在这个目录下8 C; L3 R* r, d8 w* ^8 D
2008102018020762.asa1 ?# Y `( G$ r( X X0 j' J
9 ]5 J1 Y$ a6 Y过往漏洞:
9 d9 H2 n! w! \; E
) E8 Q3 K" e8 ~' I* t- E( g8 f G首先介绍编辑器的一些默认特征:
5 R5 \; S% j. Q+ V2 G默认登陆admin_login.asp$ W) U, p# T# S3 f* X
默认数据库db/ewebeditor.mdb4 {3 k# X* L8 m1 |
默认帐号admin 密码admin或admin888
* z) l) ]. Q6 n5 w9 \3 S搜索关键字:”inurl:ewebeditor” 关键字十分重要, |8 L$ W; X$ l
有人搜索”eWebEditor - eWebSoft在线编辑器”
7 P& V# h/ q; @4 [$ y( Q m根本搜索不到几个~7 f7 O% s- q; u r2 v
baidu.google搜索inurl:ewebeditor
( _, I6 b1 _- s7 g几万的站起码有几千个是具有默认特征的~
. P w4 p8 A' m. \% j那么试一下默认后台/ V$ W( o* z: A5 F
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
- [. i4 h- J; f. m \. C试默认帐号密码登陆。! F: b8 F8 i ]7 g3 M, I4 Y
利用eWebEditor获得WebShell的步骤大致如下:0 s/ x3 _# |$ c5 u; e+ H1 G) \
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
, P! J% I. Y7 ?2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
: _( y' S5 s4 C: m( d: S6 Q0 \% s3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
) H( U- ]( k/ J. C: a/ Y如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!0 \9 f- S4 _: L) R% r# H1 X/ X
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
3 R( L% C3 f$ i3 m: M' b7 _然后在上传的文件类型中增加“asa”类型。
% r5 b' E6 q: [8 P2 T+ V2 q5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
2 i0 A# K2 g5 x8 O# Q' z漏洞原理9 \9 U6 I/ F$ d" m
漏洞的利用原理很简单,请看Upload.asp文件:
1 P/ S' I/ u! S9 d任何情况下都不允许上传asp脚本文件
5 p( `: w/ w, A2 D$ T& lsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
$ S; {* o0 r9 E H因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!. A: z% _7 U) n& B- {
高级应用# V6 B3 u9 s) z C* U" }5 F
eWebEditor的漏洞利用还有一些技巧:9 [$ P0 f; `( _2 d7 p: K
1.使用默认用户名和密码无法登录。
( T* X( v/ G' n; S% J" a请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。2 P+ U/ m+ ]) J/ @- _* T8 T+ Y
2.加了asa类型后发现还是无法上传。
4 z7 I- \" U' w1 J应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
1 \5 i: A0 u9 q$ A; rsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)4 b) Q* q; q v" A
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。. t9 A8 Z) G9 i
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
1 H( _" p, R, \. h* T# ]呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
+ N/ K. u6 D0 Q! S6 ?4.已经使用了第2点中的方法,但是asp类型还是无法上传。
* O- r% |) g5 o" ^看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。1 |! m7 L! |6 g. F' H, Y
后记
. A+ Q# E5 i7 T, l8 P8 w, m根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!# |( m5 h, e/ m O
基本入侵基础漏洞( G3 [; u' ?6 o7 n: U
eWebEditor 漏洞/ U9 L4 o4 k: r- [2 T
& H; D# \) e0 J! \/ u1 f3 x各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
5 s8 \0 p" m" `" t8 n% n v; l2 T0 R/ m) k9 S
漏洞利用
6 _. G! r1 S: }8 D利用eWebEditor获得WebShell的步骤大致如下:, T. o+ Y( ]8 ^- Y. x
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
& M0 i2 M8 Z) N6 O' B4 Y2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。! b& k6 K: Z& t/ b& C) G
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。5 m! W' h1 t. g: r2 G
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
" \+ F- I, t! p. n. s4 b4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
. ?! `' t8 E3 n2 F$ M" M: f+ P7 n. k7 S* p# o5 N( V0 ~( k& T
然后在上传的文件类型中增加“asa”类型。( `1 l% m3 i5 {* Q( K' g* m
6 |. ]2 y7 |4 d" i, y! R
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
+ `" V8 Q& N0 B! X" b" q6 i
3 j9 d" t. H6 [. r' H4 @0 b+ [; l& T5 z/ j: Y1 |' g/ _
漏洞原理# n j0 n! f3 _! V
漏洞的利用原理很简单,请看Upload.asp文件:
1 f9 s S2 V! U) T任何情况下都不允许上传asp脚本文件+ n% b! S3 L4 @( V2 h2 B7 e$ m
sAllowExt = replace(UCase(sAllowExt), "ASP", "")
8 t% w5 w/ t: l$ M因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!5 n- O0 K! ^, L
v' a2 V* N. h* M( ?$ j) Z j高级应用
" |, L% v4 }( A) U" }eWebEditor的漏洞利用还有一些技巧:
3 q: k9 p' W4 _& i9 O; l1.使用默认用户名和密码无法登录。
3 v) A# Z1 W7 d; ?) \请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
/ u% c# l% y( s2 n) C6 F- u! M1 @2.加了asa类型后发现还是无法上传。
( v3 N: ^$ A& |$ f1 W6 k应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:2 B; ?9 H9 f7 x
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
1 H( r8 g. X7 L2 H6 \" y, N* Q猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。+ ?" e# c' `# N3 B! g- ~5 G
3.上传了asp文件后,却发现该目录没有运行脚本的权限。. P/ `: \, V; H4 H2 q
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
( v8 g5 f# O# A' p: J4.已经使用了第2点中的方法,但是asp类型还是无法上传。
5 r' w' A1 u- w$ x+ z看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
( C5 v9 O6 l0 @ o% E+ K3 _% t2 i
后记
1 W* }( r: n* F根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |