算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
& h4 Z9 z; l0 F, L. J漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
1 N; q( p" j7 T) J2 k( ?ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了, k3 |3 x9 [) a' Z- {' S3 K
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址0 z" [; @' n, w( \1 c
\ T* q i* g( g u! d由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。' T7 f+ z7 k" {! \; [
属于安全检测漏洞版本ewebeditor v6.0.0
" y9 }0 E3 N0 b- W5 b5 A- n/ B* L. u7 y; P9 @3 m. o
以前的ewebeditor漏洞:
1 ]4 r# K5 H. E* d b' t' Tewebeditor注入漏洞; g( l" A! r: A. j
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb- ^' s( S5 `9 f5 w
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
P' V3 s; v! O! Q; V/ h今天我给大家带来的也是ewebeditor编辑器的入侵方法
* S7 m6 A k1 x. Q0 R不过一种是注入,一种是利用upload.asp文件,本地构造
' y$ }3 [8 f* b: k2 I0 iNO1:注入
3 i0 B$ E" T- A) Phttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200. f; U2 ~1 |! z! I
编辑器ewebedior7以前版本通通存在注入
* b' O% e/ E4 q+ {8 c6 V& o直接检测不行的,要写入特征字符
: C) `$ A2 j# |" N; Y3 R我们的工具是不知道ewebeditor的表名的还有列名' b8 e6 }5 @- B1 P% A g
我们自己去看看$ F! n6 P. o4 a
哎。。先表吧
, r) f1 e; i) U5 W8 t7 W+ r1 s要先添加进库& N$ c' K J5 [" V% |1 s& q% \
开始猜账号密码了6 x" n; |( n* O# b0 Q p$ u
我们==$ O3 K$ q* a5 C0 j4 R
心急的往后拉
" m+ J2 p q0 ]6 ]0 a! k( G5 f出来了
: ?) F H( s) X/ q. o0 s[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
" B; {: F5 b! Z+ q对吧^_^
+ F5 H n9 l- r6 s2 v后面不说了: B9 p3 W) a9 G! c! F
NO2:利用upload.asp文件,本地构造上传shell
# l O% d# H7 c大家看这里
! T0 ^5 Q o0 a/ k- ohttp://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37' R: l! L8 _; ]) D& d& q
如果遇见这样的情况又无法添加工具栏是不是很郁闷1 v( s5 k/ p# q2 ~9 c
现在不郁闷了,^_^源源不一般
& @/ \4 E8 r/ P% _( W6 I* x我们记录下他的样式名“aaa”
S$ A9 B4 p9 V0 X我已经吧upload.asp文件拿出来了( b1 M. j; p' K
我们构造下
" E, B2 z( o, l7 _7 \OK,我之前已经构造好了8 \9 q' a3 O6 q2 R( n( P" i
其实就是这里$ J ~* x! e2 F$ |: S3 I7 @
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>7 l# q; ]9 X0 ~9 C9 X# M% K
<input type=file name=uploadfile size=1 style=”width:100%”>6 C) ~8 X: p1 H* z! p% @" U+ g
<input type=submit value=”上传了”></input>6 W1 B I3 @3 L) `' L
</form>, w- e8 b; V, W: w, M1 k
下面我们运行他上传个大马算了3 i v! A7 p5 v( }$ {# Z6 X& a
UploadFile上传进去的在这个目录下
4 e6 U9 A" V/ A0 Y2 q2 p4 ^: e2008102018020762.asa- [. S# N& K* U' n) z* s3 q# V
过往漏洞:- J2 k( D A- ^# @2 Z* v/ t
首先介绍编辑器的一些默认特征:* ?. t2 f5 B/ d
默认登陆admin_login.asp# ~4 Z$ s+ q3 _0 w
默认数据库db/ewebeditor.mdb* p- L N4 A) y3 b
默认帐号admin 密码admin或admin888" M3 d4 J g# a% `$ ~; W
搜索关键字:”inurl:ewebeditor” 关键字十分重要6 j5 h! ^2 g, F4 C
有人搜索”eWebEditor - eWebSoft在线编辑器”# c) F( G5 D4 V: S+ X3 ` @( B. N7 k
根本搜索不到几个~8 u9 t0 L) A9 q
baidu.google搜索inurl:ewebeditor' d: P$ e& i7 F2 i! P; F
几万的站起码有几千个是具有默认特征的~. I3 k$ G8 t. r+ H* C
那么试一下默认后台' s3 m& o6 k* D, Z. I6 w# o& }
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
! d3 R- {' N) M, g4 m% F$ J& H试默认帐号密码登陆。& R# d! n* Z9 N
利用eWebEditor获得WebShell的步骤大致如下:, k2 s# n- R/ _+ o6 X3 ]
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。 Y7 I: m: |/ Q: W8 P
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
6 W, l7 [. I) q9 O4 U! w3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。0 t4 h: Y4 D' s: I3 T
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!. P# `5 `& U, z
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
0 a6 f* P& `9 U然后在上传的文件类型中增加“asa”类型。
/ r# W: a9 d1 n. L5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
5 Q% m6 B9 U" i0 b; Z2 a/ a漏洞原理4 q7 N! v( A2 p. W9 `2 f+ C6 G1 {1 ]6 S
漏洞的利用原理很简单,请看Upload.asp文件:
- a* R2 V9 u7 G' ^6 [. w! I任何情况下都不允许上传asp脚本文件, C0 j; b1 y7 `+ k/ Q* L
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)8 T" q7 w# S) C4 ]+ ?, t1 v
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
3 z' a& C- p5 e' I/ _高级应用0 J$ g \* t' l
eWebEditor的漏洞利用还有一些技巧:6 m; J( h7 t4 p% o8 I" E; Y
1.使用默认用户名和密码无法登录。
; O% Y) k9 ?2 Q- E0 {* x, D请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
: y: E; D( [/ u4 \+ y/ Q2.加了asa类型后发现还是无法上传。
; s5 `- _( ] n; H0 y应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
6 t# y7 T9 F/ m' a4 YsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
/ f3 I+ E, Q! e4 s0 [! L9 ]+ j猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
" w# | i+ j' z9 }* x3 Q/ j3.上传了asp文件后,却发现该目录没有运行脚本的权限。
4 {; R, v! \' a+ a( I" i呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
; A* c5 j* V7 n6 h0 @2 |8 g4.已经使用了第2点中的方法,但是asp类型还是无法上传。
) ] i; `+ u/ I2 D看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。" V* T! o3 y$ v: T5 ~: v, C
后记5 N8 G0 r% h. I4 h9 R+ b
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
' k0 Z; j* w0 A6 S# q |