算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。, ?! E4 i: h; d U5 _5 {- P
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
3 R2 V' Y2 \7 Y4 i/ Oewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了2 h- l0 v7 H8 ~( s
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
G" E W( E3 q6 I9 m: ^$ }: p% t& n* v; v
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。& X! |( i4 ]4 O, Y0 [6 ?: }$ d
属于安全检测漏洞版本ewebeditor v6.0.0) Z, p- x7 ~ {& L l' g" N
; j9 e' J) o% x% z' Z) T以前的ewebeditor漏洞:
& z. N- O1 u8 Uewebeditor注入漏洞9 B# {/ a+ B" A5 r9 o
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb% E9 T: S: v5 h- n8 O2 s7 g4 g
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话 M- g: [# D+ s/ r f
今天我给大家带来的也是ewebeditor编辑器的入侵方法
5 p4 S$ M7 w" U不过一种是注入,一种是利用upload.asp文件,本地构造
- r& [( |: N0 n( f- zNO1:注入+ m; `: a; t: V! a8 s9 L
http://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
( ?5 c8 z3 J# |% A3 ]* {编辑器ewebedior7以前版本通通存在注入
: x1 B5 x9 g. f# Y直接检测不行的,要写入特征字符
2 p% ~# a/ n2 r$ [5 g% n/ P/ x我们的工具是不知道ewebeditor的表名的还有列名
* K% l* C" I# a我们自己去看看2 p) G7 P- p0 K+ y+ \3 J( o V" v! ?
哎。。先表吧" c- s+ F j9 V: `/ ^5 q m" g
要先添加进库
, ?. ^. X+ U! a2 T& n开始猜账号密码了
% r2 y. D7 X* c# g4 G. D. k. i4 d7 ?我们==
/ ~) a; n. T D心急的往后拉3 O" t0 ` A5 P5 R* [% I4 o6 q
出来了% q! D: E k& ~ B( X# {6 |
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
( ^! s. b0 D/ j% @' Z对吧^_^
) r3 y$ J6 B- j8 M u6 X. d后面不说了+ `1 e# x% I, S' l# e
NO2:利用upload.asp文件,本地构造上传shell
! p- w( w- Y/ r大家看这里7 J2 H2 j* r7 S8 M
http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37) Q! h1 W) @3 ?' Z* r
如果遇见这样的情况又无法添加工具栏是不是很郁闷) j! a. [! k% ^* y
现在不郁闷了,^_^源源不一般
7 u* i' b* B% l: {4 m. K8 }2 b: N+ l我们记录下他的样式名“aaa”
/ E* X' b$ v* p6 J& b" f9 l5 o. ]我已经吧upload.asp文件拿出来了
. E2 n$ s+ P) x我们构造下; R7 t3 K$ o6 Q' l8 B' `1 z: z
OK,我之前已经构造好了# d, B+ H) r5 G5 L" J& U
其实就是这里, ]$ q5 d5 a! Q7 w# t1 [: Z& j! F
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>- n6 K" Y# h9 g/ o% t
<input type=file name=uploadfile size=1 style=”width:100%”>
, Z9 F( a2 D! i+ U, N( l<input type=submit value=”上传了”></input>3 x2 N" D h# H+ }1 h% ], v3 g
</form>" Q) y- S8 W3 G# j9 d8 N! ^
下面我们运行他上传个大马算了8 z$ L+ \# U0 D% U$ G/ s; o
UploadFile上传进去的在这个目录下
/ _2 f6 M* A1 e" {3 R. y: Q2008102018020762.asa
$ z' F) }6 @0 a y4 n1 g8 \7 U过往漏洞:
! f3 w. @+ e X# B" N- e* P首先介绍编辑器的一些默认特征:! R. D$ X. Q/ }, ~
默认登陆admin_login.asp/ Y, J4 b& p# m3 u) e, _: ]
默认数据库db/ewebeditor.mdb
+ Q2 ?4 f, Z) T5 K, i默认帐号admin 密码admin或admin8883 ~9 z! f+ { O* [1 o0 x
搜索关键字:”inurl:ewebeditor” 关键字十分重要! p: a+ }/ Z& }; N- K- f( o! Z
有人搜索”eWebEditor - eWebSoft在线编辑器”
. P4 D( g3 e: o# @4 G$ \2 F; `7 f根本搜索不到几个~3 w2 f3 a+ j$ f2 D- V. F- O- n$ g
baidu.google搜索inurl:ewebeditor3 D! {7 \# H, E
几万的站起码有几千个是具有默认特征的~
5 S) ]4 y |( \. P) ?3 t那么试一下默认后台
1 `0 a. d# Z: Z, lhttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
( Q0 N# M" a8 b' V$ |' I试默认帐号密码登陆。
, X8 n* P* j" Y. c4 Z$ D利用eWebEditor获得WebShell的步骤大致如下:9 O$ x# z2 A8 E8 F, p
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
k% w2 [1 z, I) w+ a% B) ? C1 A2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
* m/ K( X5 a+ s& B3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
5 H& T& N( V- ` R6 G5 a如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!* \% B' K+ |+ f8 o; K# T
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。+ i: W* b( S% j0 V
然后在上传的文件类型中增加“asa”类型。
/ X# a; k. j# T& j( O5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。 u0 c% c7 {- q9 m
漏洞原理
2 e2 |0 z4 A3 E9 d4 L; y% W漏洞的利用原理很简单,请看Upload.asp文件:" _6 {# z3 \+ q: X% t' D* Y. P7 X- ?# v
任何情况下都不允许上传asp脚本文件0 ?. b9 E, ~1 A# G( o
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
! |# [ `- ^/ L3 u% l5 ?' i, d因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
: d' Z! Q7 T k5 z高级应用
, f* J- J" H5 k7 w% _9 weWebEditor的漏洞利用还有一些技巧:; s3 \, S$ N# _3 g
1.使用默认用户名和密码无法登录。
0 O* x' s* q8 N' I7 U# y! Y! {请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
! F" C; X, s1 Y5 y* [2.加了asa类型后发现还是无法上传。* P: k# v# r' D( w+ b1 B* z8 x3 N1 w
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
" [8 ^) K# _# j8 a N8 }4 ^( L3 @sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)9 w% N+ ` ~' r& ?1 g+ w$ F
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
7 \* z/ D4 a5 r; X( v$ T6 u: T3.上传了asp文件后,却发现该目录没有运行脚本的权限。
+ m- z1 t* b* n( D8 @% o呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。% Y8 _3 Q4 s/ R6 w5 \5 H3 K1 U: B
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
* L; R' Y8 G0 g看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
3 B& _% h6 c5 k5 f0 `2 e- T后记6 n( p/ e F/ {) D, P
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
( L- B$ R9 i% ] |
发表于 2012-11-18 14:24:49
收藏
支持
反对