eWebEditor.asp?id=45&style=standard1 样式调用
! [ Y% T1 k" d% V) Y
6 f- j e5 _) E- G/ l5 r$ c# K Y
" i# x) ` E+ K' `2 r. I8 m2 W/edit/admin_uploadfile.asp?id=14&dir=../../..
, H% E5 L! C: ~9 u% E可以浏览网站目录 ../自己加或者减0 S$ T* F0 O6 s6 {# X/ K2 y
1 Y' m* {+ c$ z: L
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞5 y- ]! i9 Q9 C/ d6 B3 b7 ~7 ]: V
简单利用就是 X/ `* v0 v+ }) Q! K0 `
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200/ P! s+ E6 `2 N
http://www.siqinci.com/ewebedito ... amp;style=full_v200
# `% I1 d9 x& A; G9 D可以利用nbsi进行猜解,对此进行注入* e5 o6 V7 V' ^4 V
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的3 D2 b& K$ o6 p
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
3 T$ V, m: |: B1 E. o7 _在action下面
2 L, i6 C0 |+ G& {2 J* k$ b# Z<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
} J1 n- D! ~" @, Q4 H<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
' C' @8 R9 p" j$ j<input type="submit" name="uploadfile" value="提交">
0 q$ I$ L+ b! M6 p, L6 i" g<input type=hidden name=originalfile value="">
, S' \: Q+ {6 r4 I m$ Q</form>" [3 \. d0 ~7 b, Q
------------------------------------------------------------------------------------------------------------------------------------------------
6 G3 w2 z/ N: I6 V2 g<input type="submit" name="uploadfile" value="提交"> 放在action后头
7 i1 I1 P& A, M/ h,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
3 g% G4 P5 C( T. o0 E9 _
7 N+ }0 M5 {4 s' c" |% l- O& T# `6 b4 c$ G' z1 X
6 I8 V$ o: ?4 a" M
- t+ l# L, H& B' ~- H% o T
Ewebeditor最新漏洞及漏洞大全[收集] (图)3 f, s: h: E8 m0 C( D
本帖最后由 administrator 于 2009-7-7 21:24 编辑: [+ Z* U3 y; B* J7 q
! `* ~1 w! q6 }$ Z以下文章收集转载于网络& A( G2 _7 c, W" g6 e4 D
#主题描述# ewebeditor 3.8漏洞[php]
2 g2 m. W$ r. y. r/ F' |; e--------------------------------------------------------------------------------------------
* }2 v4 B9 U/ A+ S/ k#内容#
" U' v7 ]2 ]2 P# i0 _6 R& {php版ewebeditor 3.8的漏洞
. B1 N' A8 x( s0 W( O& pphp版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:2 b ^2 C+ M# ?3 X; t& c4 n
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,
& b7 v+ D0 R. i0 r% W0 C2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
8 z+ u: g! y+ r% B+ m! w$ s3 后面的利用和asp一样,新增样式修改上传,就ok了
, t/ s. t6 `( O3 |/ Z5 n I: a7 q测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
+ Z! Y. `, c4 t% I4 C waspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell4 U) j) h% Q: b6 E+ P7 u+ C) s
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了: ` N" f! ]- t) Y6 T
--------------------------------------------------------------------------------------------
- M' D% J x- F* G! q2 D3 g6 \4 ?
2 O+ ], }: g' S6 k
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。2 G; y; R; q' v/ Y# g: s
. g1 z: d( |# J6 Z& J8 {漏洞更新日期TM: 2009 2 9日 转自zake’S Blog, ?; }% H! M3 U4 K) Q0 D
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了1 W: p! d) _7 x \! p0 v
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
( T3 \ x+ ^- E% W0 y0 m+ j, t% F$ G6 \( W3 o( P+ j9 S* ~ K
9 ?8 z+ Z d, }1 Y5 y; S
然后确定以后,这里是最关键的一部!1 y& M& E* F3 D, ?2 ]8 r+ T5 V- T4 i
这里点了远程上传以后,再提交得到木马地址8 j1 p8 N" A; |
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
1 t& g3 f( o. F* n+ r属于安全检测漏洞版本ewebeditor v6.0.01 W. w. q8 k5 [3 s% _- r8 g* R- {- ^
3 X: q% i( j3 D. K
以前的ewebeditor漏洞:
( N5 }# e* U' I8 g, _
4 j: e0 l6 k0 K8 }+ eewebeditor注入漏洞
" [; Q" C3 ]0 ^' c0 }! v) B* C
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
+ \. n n# K1 s; q默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话! R+ _+ E6 ?+ D
今天我给大家带来的也是ewebeditor编辑器的入侵方法3 _8 g8 w2 C0 c% k* B& q) o
不过一种是注入,一种是利用upload.asp文件,本地构造& s* M2 W9 v: y! k7 Z
NO1:注入* M' B7 U( z) \
http://www.XXX.com/ewebeditor200 ... amp;style=full_v200
: L9 r$ t3 t2 N, Z& F* M编辑器ewebedior7以前版本通通存在注入
& {: x# S$ T, L' g8 Q" p直接检测不行的,要写入特征字符
$ T Y1 P4 E4 e我们的工具是不知道ewebeditor的表名的还有列名
1 W) e, Z/ \2 |, ?我们自己去看看
% i4 i- k/ Y- } S2 Q( r4 j0 b5 D- w哎。。先表吧$ G# M4 x2 _: i) D
要先添加进库
# i7 H# o( w6 D5 [3 d% f z开始猜账号密码了2 q0 H. B4 O0 P1 L) g$ ]
我们==
/ I4 V, a2 a5 r+ G* Y/ t. G心急的往后拉- \3 y# g: |5 X
出来了' C4 U' {6 h9 r- C; u
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511208 J* X' A5 F/ G/ }$ \# k3 n0 m
对吧^_^
& u0 {8 b7 l8 s后面不说了+ ]5 C z; Q; T# T6 P) a
NO2:利用upload.asp文件,本地构造上传shell' F6 S6 ~5 [+ P3 v, b( { ?
大家看这里" C% J- j: o- y. M1 q- b
http://www.siqinci.com/ewebedito ... lepreview&id=37: H6 v) L8 N. [- x( B# p
如果遇见这样的情况又无法添加工具栏是不是很郁闷
2 p- f1 ?* V0 o) q' x现在不郁闷了,^_^源源不一般* U( I5 z. N5 t6 ?! A1 E8 N
我们记录下他的样式名“aaa”
. g6 w! G0 q8 I3 \* M4 O. J" j我已经吧upload.asp文件拿出来了
7 d# F' f2 }; g我们构造下
: K6 z, E( l% N; _# WOK,我之前已经构造好了" U, O/ g9 I' G# c9 ?" e. Z. U
其实就是这里
& @4 F, O. e0 ~ G+ U<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>$ W1 n- C# z; p* {! X
<input type=file name=uploadfile size=1 style=”width:100%”>" i% i2 k* v+ m3 H0 v4 Q- b7 a- P
<input type=submit value=”上传了”></input>
! o; t) y- }! m& i& L# T</form>
8 r0 l9 X/ c) E& d下面我们运行他上传个大马算了
3 D' T! D9 g4 v& u P- _# |UploadFile上传进去的在这个目录下
% H! C. ]3 V& m0 ^( h: O- D2 `$ \2008102018020762.asa
6 N+ A, @& ]: [8 q7 k4 _- j0 K1 S! e) V, W- W
过往漏洞:. P/ o( {+ ^+ B3 Z8 ]. o9 [
! I4 Z# ]1 D$ K0 v4 O# b$ d" U5 m
首先介绍编辑器的一些默认特征:
1 p0 m: `6 ~* |( T/ T- g( ^( C# Y8 R默认登陆admin_login.asp2 |1 Z4 Y! P9 w; X, A' d% N9 I, D
默认数据库db/ewebeditor.mdb
5 j( W* i2 ?& o6 D6 L7 f; ]- m默认帐号admin 密码admin或admin888; D$ u. K( ~' I3 B' {$ |$ o/ G
搜索关键字:”inurl:ewebeditor” 关键字十分重要5 p# J$ c5 s( c! g0 W# g
有人搜索”eWebEditor - eWebSoft在线编辑器”1 K4 t3 n1 K5 l, D0 O& F. V/ B
根本搜索不到几个~ @3 l& y- g, x( V) e
baidu.google搜索inurl:ewebeditor1 Q$ B6 n( A, }
几万的站起码有几千个是具有默认特征的~2 u- A5 t2 [/ j* ^* w0 \- A8 V, @' c( }
那么试一下默认后台( v; y/ D( t' C8 z7 v$ w
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp$ l0 ?! m8 d7 t; q9 I4 y- ^
试默认帐号密码登陆。
" H# t \$ R, c利用eWebEditor获得WebShell的步骤大致如下:
/ A; H. O: l; A% V @* x! D1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
5 w, e _, _1 j" b) }# w: B2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。. l" G* K2 M# l/ f+ O
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。$ x: w& E7 w3 H( S3 Z: l
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!, p: @/ X' _- R# z0 q. g. j8 g3 ]
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。7 l% k. c: ?3 v8 R
然后在上传的文件类型中增加“asa”类型。! Y6 b" d9 R, D; h- o
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。2 Y9 @) Y( S" ~) F, N. _
漏洞原理" _. G3 n, W% }& |
漏洞的利用原理很简单,请看Upload.asp文件:
% m+ k- C3 @4 F1 H任何情况下都不允许上传asp脚本文件
6 r$ T( ^5 w! S/ P, Q7 ] OsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
0 `9 d- {. \! m6 b因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!* G' l7 x( s ~- n. T' E9 @
高级应用
9 N% v" _+ T" D# i# seWebEditor的漏洞利用还有一些技巧:
, y/ I& C2 ? p2 P: e A1.使用默认用户名和密码无法登录。
' \9 j, d7 ]2 Z1 d$ V* V请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。, Z _& ~' \' v! N
2.加了asa类型后发现还是无法上传。
0 F x5 ?2 o) `1 r( E4 c应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的: ]1 h1 R0 ~0 l5 S% r/ _
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
; f. |/ s3 {: l猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
4 V) ^% I- p& ^. k! I/ V( s2 n3.上传了asp文件后,却发现该目录没有运行脚本的权限。6 T; e6 [6 K- f: P
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。9 K9 J' h7 a8 f- O2 y& h
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
6 X. r0 p7 y: h2 \8 R看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。- y( L+ o4 w9 i3 ^
后记' A3 S0 R) g; ^/ e- N, T
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!+ j3 R9 }5 U3 t( }4 @
基本入侵基础漏洞
& }7 p6 @, h% a# {eWebEditor 漏洞
* N% j5 ~4 J' q" U, a
# z9 J) h6 x0 d. o4 ]$ d各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦!
* y6 g7 X1 j6 _6 o: f I
: R7 T: a) i c8 @5 h漏洞利用
% R: ]1 f" I2 C' N' W5 N" |8 s3 ^利用eWebEditor获得WebShell的步骤大致如下:& k2 h8 {+ O; z. U
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
- M: ?6 v. g5 T! U2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。8 E1 R+ N+ I S. z* h0 W
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。) }( e; K' F. R: N$ a
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!1 C- E& M* q% h& o! n
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
8 A) o8 G6 \# D' _$ u+ ?7 V9 U. J8 g
然后在上传的文件类型中增加“asa”类型。% m. s' i4 I0 @
4 Z7 F# X8 u# t0 _ z8 C5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
$ Q5 h$ c" i9 ]- _& t8 O
. i" r' z. l2 l$ X/ \! y, N
5 T& _8 u0 @* A3 a/ Q. j3 J) o漏洞原理
0 I% q7 y- s, u漏洞的利用原理很简单,请看Upload.asp文件:( ]; F6 ^* i. g9 y* M
任何情况下都不允许上传asp脚本文件
+ W0 f) Z4 H# G% q; M3 usAllowExt = replace(UCase(sAllowExt), "ASP", "")0 w; u1 H9 A+ v, [6 H3 c
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!: |7 G; P. i0 Z, i7 @, T, [# ?6 x
^6 Z4 F7 M. x' P N
高级应用
) \( j3 ]6 w0 ]$ ]: P$ Y+ aeWebEditor的漏洞利用还有一些技巧:
" U( y% m) G+ z) L+ a4 P1.使用默认用户名和密码无法登录。
/ J; O) D9 J& d2 Q2 T; R8 s& `请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。; m, d/ L' l) g; \& h' \5 v! b
2.加了asa类型后发现还是无法上传。
- A' z; d G) Z" t4 ]% D. {应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:( G% w$ f* h" M/ h1 t7 E) j
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
7 P M% F! d" k猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。0 F+ Q4 { h. b. k$ t0 v
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
/ @% z* K, e7 q( S/ i呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。7 F" i; e5 D5 O& \" h+ A. T; r1 `
4.已经使用了第2点中的方法,但是asp类型还是无法上传。# ]/ d$ }3 ^6 U- `! Z5 p) \& O
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
* A- N& U! Z4 K6 ^2 _' B. {
6 Y( T- ~/ d! O; { @2 t+ f; d后记& O$ o U" f! r$ j6 F+ b' j
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对