算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
, F9 j+ x4 j, ~4 u" u( N漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
9 L. i2 s/ y7 T! Z6 kewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了. G5 T u5 Z/ p- |2 O
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
: ^. M" G7 N; I* k$ h& H+ ]8 K3 X- Z9 Q$ k
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
; q1 A5 h" s0 a) S/ V* _/ u属于安全检测漏洞版本ewebeditor v6.0.05 Q8 c( g. T$ Y# y
8 o7 { w7 a8 d9 u: k
以前的ewebeditor漏洞:
: u) O3 f3 W0 F; newebeditor注入漏洞
8 b0 r! L. m* p: {% o3 d. L大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb5 A _& O; k/ h; k! X
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话0 {7 `8 \: i! R; r: U* v& i
今天我给大家带来的也是ewebeditor编辑器的入侵方法
?# _& {$ Y" g不过一种是注入,一种是利用upload.asp文件,本地构造2 p; k9 h, v$ A$ g# P0 o
NO1:注入
- B# u) v0 Z) g4 D0 u4 s; Bhttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200, [" H/ h4 k5 E$ e) e" U
编辑器ewebedior7以前版本通通存在注入
?3 [: M, c8 y2 {2 n直接检测不行的,要写入特征字符
3 t j0 f- J( y$ J; N5 N我们的工具是不知道ewebeditor的表名的还有列名5 L. H& l: b/ o% ?. u' z4 W
我们自己去看看" H& G ? f( m: L# {$ C: d+ B
哎。。先表吧
4 `1 n: V) c, C8 t! P要先添加进库
/ R" v# O& \# D7 |) J' `开始猜账号密码了
s0 r! q% K k( r% q2 `! P4 [+ m7 s我们==
: F3 q% T8 E$ |7 v* l& C心急的往后拉1 g, c4 v& L) y3 F# v7 I) Y
出来了
j7 O [6 V7 ]' _[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 8511206 o* b+ D. b0 y8 ]6 x5 b6 J
对吧^_^
F) |' [& N5 \8 g: m2 }6 b5 i* b, y后面不说了
$ Q) G# D" _$ sNO2:利用upload.asp文件,本地构造上传shell# @' N) M2 L, p3 j
大家看这里
1 n$ c: r; s2 @& Mhttp://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37
# e! q9 E+ O/ N4 ?" O$ i ^" c! ^如果遇见这样的情况又无法添加工具栏是不是很郁闷) f0 f+ }2 U) X( O1 @5 J
现在不郁闷了,^_^源源不一般* d% q3 J% l+ d" d
我们记录下他的样式名“aaa”
( V1 t& C S i6 l* r我已经吧upload.asp文件拿出来了
; v2 l1 L# Q3 p$ y+ j; i: \我们构造下
4 Y/ x' b9 g0 u0 O" N; |7 h0 JOK,我之前已经构造好了3 W- S2 C3 j1 a( W4 g- I
其实就是这里3 W6 y k- Y. a* k/ j/ I$ w7 g
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
) m; h& o3 Q' u5 k1 q5 ?/ [<input type=file name=uploadfile size=1 style=”width:100%”>3 ^0 }/ s- x* O' a
<input type=submit value=”上传了”></input>
$ v7 p) P) |- |( H$ C# ]</form>
4 j6 f; a" ^) c: L6 }* O* h下面我们运行他上传个大马算了
, V- m6 @% q6 |* m& [UploadFile上传进去的在这个目录下2 v% G1 k* y N% K9 M! K
2008102018020762.asa. r k& |. R, E# ~5 t( M
过往漏洞:, V0 y) T' N, X! i- P
首先介绍编辑器的一些默认特征:
' S4 F' ^5 t* D S默认登陆admin_login.asp
6 A; K0 g0 q" r6 N8 k" p默认数据库db/ewebeditor.mdb
+ N" ~! A* x1 o0 I+ c) _) u默认帐号admin 密码admin或admin8885 f+ L6 B% K0 A/ E; x9 @ N) j
搜索关键字:”inurl:ewebeditor” 关键字十分重要# ]" L# b/ c; |- C
有人搜索”eWebEditor - eWebSoft在线编辑器”; j, w4 p, g- B* p$ z0 W
根本搜索不到几个~7 Z3 a3 G- c5 z3 v" A0 N0 z$ a
baidu.google搜索inurl:ewebeditor* \! X7 z1 h& z( w
几万的站起码有几千个是具有默认特征的~9 I% I* B6 C" f( \% A3 m
那么试一下默认后台
" q, e/ g( P5 ~5 ~3 ]! |http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp8 d! i! V$ W. C1 _
试默认帐号密码登陆。' h4 Y5 q, x% [" E" V) w2 s# c Q
利用eWebEditor获得WebShell的步骤大致如下:
6 j! }# q; _( P7 j7 \. P5 r1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。. E! F. M# f8 G% f1 h- y
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。) B# o2 O/ Z+ ~
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
# j, s, A3 U" f7 v" f' U+ z7 T- T如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
7 c$ K, b" N. v5 `" n4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。0 o* y' B( k/ C* [0 F
然后在上传的文件类型中增加“asa”类型。
- Z- C7 @6 [* \% E5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。" P* _8 L- j' I. K# P i
漏洞原理
1 i( ]9 R, `3 V漏洞的利用原理很简单,请看Upload.asp文件:
5 `2 h' f6 Q# p! M" q任何情况下都不允许上传asp脚本文件
N5 V' K. g' p) ]5 msAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)1 s8 @2 E' X: Y; Y5 D1 C" q9 I0 a& v
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
$ H, o* ?2 C8 B2 z: o1 U高级应用3 h- e! X0 o3 B5 ^/ X9 K- t0 u
eWebEditor的漏洞利用还有一些技巧:
: U# t6 k' q3 j1.使用默认用户名和密码无法登录。
_( j `0 W6 O3 ?2 D# w9 R3 R: f请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
& g( b `" W# z' k/ d2.加了asa类型后发现还是无法上传。
1 m; u' H3 k7 |/ w. @9 F应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
6 C# C$ l+ n k, GsAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)+ f, e2 j& W; j2 j8 e
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。5 Q. p/ j: ^+ O7 t9 j3 V
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
4 \. J" x9 Q! l1 a, A2 Y呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
8 e' z) d( O+ G. q6 B1 i4.已经使用了第2点中的方法,但是asp类型还是无法上传。
+ L: l. N3 i/ S4 u- I看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。% k% e8 P: U2 @+ N- r
后记
. ]. p6 j7 Q4 D根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!6 `* m6 j4 q( Z- g' E; Z) v
|
发表于 2012-11-18 14:24:49
收藏
支持
反对