找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3199|回复: 0
打印 上一主题 下一主题

ewebeditor漏洞收集大全

[复制链接]
跳转到指定楼层
楼主
发表于 2012-11-18 14:24:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
3 t6 K: k2 e: ^" u漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
, C6 F  J3 `4 t) a" fewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了( I+ b. b& f' N- ~/ x4 ?
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
; i. T+ Y; z; s+ S2 S  M5 N: Q4 l0 f, ?3 o- @5 k
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。$ r5 n* V  e! b# K8 x8 i
属于安全检测漏洞版本ewebeditor v6.0.0
, a' \8 y) G6 a- @; n/ c" \. M- `4 z% E0 N+ w2 C' s: a5 v' X1 T
以前的ewebeditor漏洞:
' W/ a- a  w% i3 R+ x( rewebeditor注入漏洞) g2 R( f. y: g2 F/ N! ^! c' C
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
& X- i7 A5 R7 W3 r: G0 |8 w默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
7 r- t0 v4 X: u  V- j; Z) {今天我给大家带来的也是ewebeditor编辑器的入侵方法
8 D1 T  x/ B- y8 v5 g不过一种是注入,一种是利用upload.asp文件,本地构造! `. t; A' q4 {
NO1:注入
/ b( w/ Z+ l/ o* A, ]2 x- dhttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
$ k  m, A! H3 j; L编辑器ewebedior7以前版本通通存在注入% a0 ~8 A8 {; i! K) E
直接检测不行的,要写入特征字符
' H) t4 \) j7 L8 i我们的工具是不知道ewebeditor的表名的还有列名
: Q9 X+ {  P' |# |我们自己去看看1 k) C7 l+ m: V7 n
哎。。先表吧* Q$ A. L# X7 H4 r0 i
要先添加进库7 b! D+ J) b! l6 W: r) Q
开始猜账号密码了, v% f3 W* D3 o+ x8 t
我们==
1 U. l( |- y2 E! c  E% [' z3 q. K心急的往后拉' X3 B% R% l/ i( h! H' H/ Z9 U$ l' A
出来了: E, F: E* w. X: k9 h
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120- Z4 z: Y5 M' u2 u# o7 T% k
对吧^_^4 \( }+ J& k  {- Q& P
后面不说了
5 v( C- [; `3 W$ Z( KNO2:利用upload.asp文件,本地构造上传shell  H4 L5 o, |: F$ e
大家看这里7 }+ P2 G7 s5 E9 z9 [
http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37. R: x. z$ H1 \. K, T% c
如果遇见这样的情况又无法添加工具栏是不是很郁闷
/ q# X' O! [  k# a现在不郁闷了,^_^源源不一般
& H" T( a. A- W8 e. O# n我们记录下他的样式名“aaa”
, G9 r9 Y# a3 K2 q! s我已经吧upload.asp文件拿出来了
$ c  y/ O+ V: N6 K  R  r9 p我们构造下/ h  m% V% L! l# w
OK,我之前已经构造好了+ s# C2 r# m9 V! }! Z5 h
其实就是这里
3 U) c; D6 \* V<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>9 ~$ s( ~* l( i
<input type=file name=uploadfile size=1 style=”width:100%”>2 E" B2 P# [. D  n  Y+ ~
<input type=submit value=”上传了”></input>
9 N! A' d* q7 J) {" y</form>
' U( @7 Q+ l5 |下面我们运行他上传个大马算了6 Q. P. h( Y1 w; K7 |: r) T8 r" l
UploadFile上传进去的在这个目录下
5 F% `! I% h- a1 P0 U2008102018020762.asa" ?8 L# B- a6 [3 t( l, \  |6 t
过往漏洞:
  ^9 N% b( `! a3 Q2 n首先介绍编辑器的一些默认特征:' L$ T" m: Y+ l$ Q
默认登陆admin_login.asp
) V# G0 e" o7 F3 V! X4 ^3 ^默认数据库db/ewebeditor.mdb/ }& A' W9 L* L2 \
默认帐号admin 密码admin或admin888
/ S9 J" r- S$ a/ g搜索关键字:”inurl:ewebeditor” 关键字十分重要  V' N9 P9 u! u8 d4 G, t
有人搜索”eWebEditor - eWebSoft在线编辑器”
7 ~5 E" D7 @8 d( Q根本搜索不到几个~
% h9 Q* g; i+ B+ _% U* y7 O9 Y5 q, Kbaidu.google搜索inurl:ewebeditor! W; _2 u% e) d( e/ ~" }
几万的站起码有几千个是具有默认特征的~0 Y1 z- k3 c- k6 h5 Y
那么试一下默认后台9 l6 M) X& g! G, g
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
/ U2 Z5 r+ Z' M% Q$ Q试默认帐号密码登陆。
( j# ]/ g; G- d) Q6 }/ P利用eWebEditor获得WebShell的步骤大致如下:8 A% ]6 p( f7 v( p$ E
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。# E. s* Z2 r; W' j6 g
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。* c; l9 Z/ o1 T$ V
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。9 `% N. b- k8 F( B0 g
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
  ~2 M1 Z' T+ P" R4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
, F0 |9 i1 q9 @; V) m5 G! W& V然后在上传的文件类型中增加“asa”类型。
1 ~7 f) j# p& m/ l2 S5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
2 j3 ^* b/ a0 v7 i5 a漏洞原理7 W  I) C4 a3 n2 q
漏洞的利用原理很简单,请看Upload.asp文件:( w7 W- q0 X$ w, [: K* d  E& }
任何情况下都不允许上传asp脚本文件
2 k0 e: j+ F5 {& _sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
5 ?$ O3 G! U# ~& J' i4 a4 M) ?4 ~因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
' ]6 z0 M( q8 ]) d2 ?3 p3 q% m高级应用: \: |0 [8 O. Y3 C# A$ ?/ T! ?4 }  G* ^
eWebEditor的漏洞利用还有一些技巧:4 G% T. H, T9 w8 j$ e6 u( ?2 G
1.使用默认用户名和密码无法登录。. q8 K+ `; }% r' g. j1 C
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。, C7 W, [$ T  X0 R, F6 k" F/ H. _+ w
2.加了asa类型后发现还是无法上传。7 b3 I' b  C& s
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:& W6 s" b9 u" q: ]9 ?
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
9 H3 n! y' f' ~- o) [5 y0 A猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。9 B7 u0 f3 s& p! _3 y' D9 A* T
3.上传了asp文件后,却发现该目录没有运行脚本的权限。2 U5 v/ l2 X3 J0 ~" V4 e5 ~  G9 H
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。4 y& ]1 P0 f6 z
4.已经使用了第2点中的方法,但是asp类型还是无法上传。) }0 N& d9 k: ~% y4 c. s
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。* y' M& p& D- D
后记* Z7 W  \* K& L* K" e
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
. P1 H2 |' W! @% u

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表