eWebEditor.asp?id=45&style=standard1 样式调用
& E* g, N" J u& I$ T @
- ]8 W- H7 N5 W2 T) D6 N6 G$ @- d" _) Q: m: r
/edit/admin_uploadfile.asp?id=14&dir=../../..
8 L/ [, l; t1 c3 p$ }" t7 @可以浏览网站目录 ../自己加或者减
& M! E( g7 _7 {7 K j4 M3 q
) K+ k7 r* P' f' L1 e9 B有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
0 m: G F% u: S7 q" E( ?! \8 f% n简单利用就是
* p4 i1 {: U' g5 thttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
% h# F# P7 C% I/ y2 i1 G5 s" o6 U* ]http://www.siqinci.com/ewebedito ... amp;style=full_v200
! S6 f0 p9 w+ F4 @可以利用nbsi进行猜解,对此进行注入/ S( e7 K/ Q* s& k f" |+ m+ D
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
% P7 m/ R1 w3 u" o8 F9 q3 g这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:1 E2 g1 z- ^! o9 h7 y$ V0 Q
在action下面
6 g H2 f+ h7 J7 J) c6 k$ ]* n1 m5 B<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
- @) _) n* R( V; H5 I% i# s<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">& z5 a ? W) ]' \
<input type="submit" name="uploadfile" value="提交">3 B& p, S8 \) R) P
<input type=hidden name=originalfile value="">
0 ?6 y) x* O4 s) b</form>" b- h8 m2 D8 Y$ [# Q' h
------------------------------------------------------------------------------------------------------------------------------------------------! P( t8 O, j& u$ L2 G4 b
<input type="submit" name="uploadfile" value="提交"> 放在action后头9 _9 f* [7 C0 R# o5 _, n+ s
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
; u. q5 F8 @( ?% Q' e( x, [6 L" k$ l) @% m {. N4 f+ H6 Z
/ [) y3 \; Z$ Y4 U# x2 A
; G) H, f8 i& h* I
`5 I% A h. K# ?' h
Ewebeditor最新漏洞及漏洞大全[收集] (图)
5 R( t. O+ k9 W+ [本帖最后由 administrator 于 2009-7-7 21:24 编辑
3 _, Q! }' e# a* F- s& x7 C; V
" k' F- s, P, s; J( W以下文章收集转载于网络+ l' m2 m8 C8 B' }- ?
#主题描述# ewebeditor 3.8漏洞[php]
+ A0 @8 s( `, G/ r6 d3 x--------------------------------------------------------------------------------------------
$ h4 ]$ A6 `5 e2 H9 ?6 _& Z7 c#内容#
) C+ n. y3 M# X3 P+ Bphp版ewebeditor 3.8的漏洞- \- i t* J, k0 A
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:% U N# \) g# ~+ x
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,- v. D7 O- v9 Y# P) U9 {5 f
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
+ R$ g7 m% e6 U- d( A, ? R3 后面的利用和asp一样,新增样式修改上传,就ok了: n: [: x- |' ]2 q# O: J
测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)- k9 ?, ^3 N1 B' x
aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
% S9 i) B8 k1 Z8 rjsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
; Y! l- d v2 A& A# C--------------------------------------------------------------------------------------------& U' g$ a+ e" \) p/ C
" ^# h$ s$ H( T1 |
( q& k" u; B3 k' K4 n0 K算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。; r9 l3 X$ [4 z9 K% p: j# k6 E
2 |$ n# K3 r; m1 z4 X' K$ I漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
6 J+ J% D- F' L, W* k( { ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了4 W1 g' b6 ~0 K0 R7 z
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
/ j! @7 R" H8 \/ e6 Y, P! w" z, {! P
2 a! A: g$ t* X- p: x( k0 C然后确定以后,这里是最关键的一部!
% S( y. A* r. u, c' f" {" q$ `5 V这里点了远程上传以后,再提交得到木马地址
1 c. v, y7 \/ _9 q由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限6 x7 }. O# ]5 }( E
属于安全检测漏洞版本ewebeditor v6.0.08 w+ v, I2 z" z0 \8 h; Q
m& h: V8 u0 w以前的ewebeditor漏洞:
, |4 O6 i. F. R7 b, y, o1 e: ^
9 ?1 n6 V G" X' t" zewebeditor注入漏洞
3 L/ s8 Y/ u8 p) } R6 Y" T& s$ T' q2 O& L
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
8 s" l0 }8 q% d2 b s& y; {0 V$ ?默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话6 c+ G8 R! [$ Q Y' q/ [( \/ p
今天我给大家带来的也是ewebeditor编辑器的入侵方法
/ s7 F( ]. F6 k3 X/ B3 u) V2 d不过一种是注入,一种是利用upload.asp文件,本地构造0 u6 K* _' `" M' y5 Z
NO1:注入
1 s/ f) d. O7 s0 h0 u1 e: Hhttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200" W6 I8 ?, p U0 }
编辑器ewebedior7以前版本通通存在注入
1 @' Q) m* d& D( f1 c: _+ z3 Z直接检测不行的,要写入特征字符
8 s( E/ G* S3 n8 Z* x; E E! y我们的工具是不知道ewebeditor的表名的还有列名
$ @7 M- s" ]3 S6 @7 ?# G `我们自己去看看
' W, t* t* x8 q0 K2 @& X1 R, ?0 Y哎。。先表吧
: l( z9 ], q6 Y1 \9 }; i/ J$ [要先添加进库
3 G9 x3 n8 n9 ~0 v4 }9 U开始猜账号密码了
) x, U6 X" ]/ Y; x8 r我们==
# ]2 R8 D! T' i7 X- \0 V9 y心急的往后拉3 o* g2 [) t1 {
出来了- ?4 K9 y w) ^- m5 t$ o1 D5 M
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
% i0 y" B9 ~. O; e5 `) x7 C对吧^_^
& F2 I5 g" O' V! r' m后面不说了
7 ~2 N& u$ \9 x9 fNO2:利用upload.asp文件,本地构造上传shell
* g) Z# }7 y7 c9 a, i$ w大家看这里; j9 I: ^7 ?+ X7 g
http://www.siqinci.com/ewebedito ... lepreview&id=37
+ e7 K/ v6 F$ b) m如果遇见这样的情况又无法添加工具栏是不是很郁闷$ t7 N2 m0 g# y% d% J* D; y8 B2 x, t
现在不郁闷了,^_^源源不一般
' ~) e* u% t8 c; C我们记录下他的样式名“aaa”: J8 l" Q: e/ I2 h( L, j
我已经吧upload.asp文件拿出来了
& ?4 j2 C H$ m' l; J, C: z8 v我们构造下! Q# C) a" c6 m5 @
OK,我之前已经构造好了. @! D" p: E# U" i+ S3 c
其实就是这里
* ~/ h& B, a: P" M' z) h<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
; p4 g6 R+ m! y! ]+ C5 P; J$ P<input type=file name=uploadfile size=1 style=”width:100%”>
( B. T0 T6 ]$ c' \<input type=submit value=”上传了”></input>
! j3 H0 l0 n. G# ~' e" Z</form>4 C8 |# F* {( o/ T ]
下面我们运行他上传个大马算了4 k9 b/ F& c% Q
UploadFile上传进去的在这个目录下* d9 S( @' I: T
2008102018020762.asa
. v5 t! v* c* d+ x; }" ? ?/ }" `# w3 H4 N9 P0 V
过往漏洞:9 v; T/ O' a7 Z, Y) a' `. e
/ |) S/ `% x0 g$ Q' K5 D; ?首先介绍编辑器的一些默认特征:
4 `& u7 D# W- K l6 s) _% o默认登陆admin_login.asp
- X) ^$ y2 h8 {7 H M( E2 I6 I$ a默认数据库db/ewebeditor.mdb* {; k" _' D: {1 B7 A2 w
默认帐号admin 密码admin或admin888
4 D8 i0 O0 H% d3 `6 B1 e5 A搜索关键字:”inurl:ewebeditor” 关键字十分重要# g8 b0 W9 g0 J7 d8 n c; R
有人搜索”eWebEditor - eWebSoft在线编辑器”
3 c9 H \: D2 ]7 _$ {根本搜索不到几个~
+ y2 S7 a' t7 \/ \" l8 q* Lbaidu.google搜索inurl:ewebeditor
/ y1 z5 |+ Q! F( E& O几万的站起码有几千个是具有默认特征的~8 h% U2 N6 l6 ?0 v$ ~" S! c! ~
那么试一下默认后台9 Q, x$ z( I& Z3 F* u
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp* q3 _1 S1 \1 S" H1 `
试默认帐号密码登陆。5 ^4 z2 N$ d0 }
利用eWebEditor获得WebShell的步骤大致如下:! k5 f/ w8 S6 Z" X3 A+ `
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。& g3 w& u# I( z: y
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。# k' \% h8 i' ?' M
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
0 X/ A4 S' \ r5 @( L/ D如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
) X2 s- Z9 L7 Y" d4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
6 c4 F3 q0 Z: D- E% l% a0 @然后在上传的文件类型中增加“asa”类型。1 b/ X& _" d0 o% o" a
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
4 l% t I$ h4 D( E漏洞原理
" ?6 Q( c, n0 g" x& k. ]* k漏洞的利用原理很简单,请看Upload.asp文件:
0 ? t5 L8 z, ~% D任何情况下都不允许上传asp脚本文件7 n# s! Y3 a; k" _
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
8 K0 T+ Z# h; D9 p! T因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
# h" t$ T9 b$ a. E5 Q高级应用
2 h! a; Z9 o$ T; J1 Z+ UeWebEditor的漏洞利用还有一些技巧:! P% r, y$ Y% c* n: g! Y
1.使用默认用户名和密码无法登录。
, ^; j' o- ~9 S) |' H! a) I- _请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
! d2 u- R; j' @, A- J5 \2.加了asa类型后发现还是无法上传。
% t3 c) s& \7 F+ C- a应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:$ s7 `; G/ w' T4 @5 Y
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)4 K4 x# a4 H6 g8 c* ?. K% f/ t
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。1 Z* T4 W$ P0 a, e& H# t$ o" X
3.上传了asp文件后,却发现该目录没有运行脚本的权限。, i: x2 [- t1 [
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
, z8 K% _) q( h+ ^4.已经使用了第2点中的方法,但是asp类型还是无法上传。4 G0 B* Z: m$ h, a# J# S
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。, {1 T5 b8 F; G
后记
8 I3 ?5 F1 x& @6 @1 T* _0 A- N* I根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
. q! D; s. @/ ^" i6 R7 f& ]基本入侵基础漏洞" p0 t0 h: D5 d4 ^# O+ K5 u9 X
eWebEditor 漏洞
# x) Y6 E! \8 M3 @0 E( r
0 t' _, J L! A* N7 R7 Q) L各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! % |; s% v7 ^: j7 V# y1 h0 s5 B. m/ {
' k4 _! k8 g, T* l$ W
漏洞利用& R" F6 v' |4 V: }, s j, {
利用eWebEditor获得WebShell的步骤大致如下:
$ K3 ]) D1 p8 O1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
: z. d) u; m! e8 E2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
: }# |& I) D+ L3 s1 W, G$ }# C7 |3 Y3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
- r1 {# J3 p0 q如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!- L% {: r# A2 s% @) b( h! i/ o
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
. Y# ~$ P1 O& u
5 p: P3 ]$ V8 \6 ^然后在上传的文件类型中增加“asa”类型。5 u- ~% {9 H: L- y' G6 B; M
% c$ M5 z5 k; w0 t2 n" c' s
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
( \ t. S; n1 M K
% z1 [& X U- T; [! c
$ L1 |$ Z0 t8 ~6 `9 e3 T. t; _1 X6 E% c漏洞原理
G" @( i/ W0 M$ q漏洞的利用原理很简单,请看Upload.asp文件:
; i2 G* \0 e; o6 w7 w任何情况下都不允许上传asp脚本文件
5 A6 A. i X, H. j9 x b# xsAllowExt = replace(UCase(sAllowExt), "ASP", "")
" \5 Y4 i! l, U因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!1 @. l5 X4 m7 g7 u+ E6 ]; ~
: E6 Z( T9 ^. i" @8 c" o% R
高级应用- ]9 L( c l- g. A# y) s
eWebEditor的漏洞利用还有一些技巧:1 a L! f$ i7 l* o' }3 d( B6 J
1.使用默认用户名和密码无法登录。* m) _# P2 A; D7 [$ l# `) t
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
, k. }8 V& y1 L, S3 H9 u. X) n, M2.加了asa类型后发现还是无法上传。4 K/ u% _; ]# W7 N1 `+ M" R2 i
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
! M6 n- m* m! c$ O3 YsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")0 U# O8 o k. H8 T( W9 F& T
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。9 h1 u+ b/ x2 O0 k# h( k% K$ G: g$ O
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
m( \; o& M7 a; W呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。2 G' f. M: l \# M: A1 u( ~# N0 B8 a
4.已经使用了第2点中的方法,但是asp类型还是无法上传。9 ~ e$ ?. w4 d1 i
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。/ K5 A2 F; X: L( O/ f" v5 O) Z) z
- I; g7 g% M" s+ ~0 i( h# D( W
后记
! ], B" P/ f/ H根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对