eWebEditor.asp?id=45&style=standard1 样式调用
1 z) H/ p- f F
8 k2 e# p. C# C+ y- N1 U6 w0 |6 u$ e$ h2 j) W" p, ]
/edit/admin_uploadfile.asp?id=14&dir=../../..* l4 o7 f4 C' o4 [# ?. ~1 R9 f
可以浏览网站目录 ../自己加或者减 N& [5 l8 K. n$ } K( ]* w w
% _: P, D1 o4 ?7 ^2 Q; a有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞" l& n, {2 z+ O
简单利用就是3 X2 h3 h, v8 W( v- m' K
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
9 @% Y( k/ P' G3 hhttp://www.siqinci.com/ewebedito ... amp;style=full_v200# C- O; n( Z( r
可以利用nbsi进行猜解,对此进行注入' M/ } Q3 ?5 V( j4 B2 b
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的
4 K6 S2 \; ?$ e这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:" x. r8 N8 c! K9 e' c6 f
在action下面3 Y4 r1 i! e0 [5 S. d! V
<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">
# E5 w5 B$ n* x8 K<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">5 g/ s9 K9 W; x$ j
<input type="submit" name="uploadfile" value="提交">: b/ }# l% S+ d& M
<input type=hidden name=originalfile value="">
" P" x- @' q4 v8 ^2 G* z1 X8 a</form>
) \/ |- b, b$ q0 Z9 F------------------------------------------------------------------------------------------------------------------------------------------------6 h& W k8 r6 A3 h { p
<input type="submit" name="uploadfile" value="提交"> 放在action后头1 {# [7 Q& _2 L+ x. U3 J) J
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。7 {" z4 W( O/ n' C7 z
. N6 l/ P+ ^7 f& n+ ]) O3 q& j/ ]9 t: u+ Y4 \
" L3 X1 @$ S" y' l9 Q; L
3 `& [( q" n& ~
Ewebeditor最新漏洞及漏洞大全[收集] (图), G6 N9 @* N( ?% _/ ^0 g* v
本帖最后由 administrator 于 2009-7-7 21:24 编辑
/ A0 B: B5 Q, N4 p p3 _
- k+ x2 t3 k+ u" @6 W1 s2 i以下文章收集转载于网络6 _6 ?, O& i/ P8 x
#主题描述# ewebeditor 3.8漏洞[php]
2 ^! ]3 U+ Y% }: o8 _+ q7 ]--------------------------------------------------------------------------------------------
; @: E& B- S1 S8 _+ @#内容#4 G: }, G7 n( M: T
php版ewebeditor 3.8的漏洞$ }% G. @$ R! R" e' | a
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:, g. I! N2 H6 R5 p/ E; b8 x
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,2 u* M( U' c4 R# |, V
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
7 w0 n, |0 l+ C- J& d' e3 后面的利用和asp一样,新增样式修改上传,就ok了
$ H$ n4 t3 [" T- @7 |2 }" _* i/ A测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
) L/ Q1 v8 {0 m6 C7 Yaspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell/ B7 }5 M* F+ S2 t! k( E& _2 T
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了/ O6 C5 B# l9 |" x, E# k5 Y
--------------------------------------------------------------------------------------------
f% Y) [3 y' O) b: r: S' ~# m' X$ o5 }- c9 ~
$ B/ i$ z) i: M" J
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
1 ~1 u; i9 d+ }
( x% x# h/ @$ J( o/ ~ R漏洞更新日期TM: 2009 2 9日 转自zake’S Blog6 ]' A1 C, f3 N( B9 V& M
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了- A% ?% R+ |" s" C* ^% I/ s
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
3 h# R/ c" O" q2 X/ f; u5 E0 [ y
: \, V u5 w6 [6 X5 k9 e0 g) A
8 }, I' ?& G+ i然后确定以后,这里是最关键的一部!3 l; Z9 t% K' y
这里点了远程上传以后,再提交得到木马地址
% L+ Y2 J" Q& z' L由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限) S- {$ `% @2 K( f( p& y+ j$ f3 R f' U
属于安全检测漏洞版本ewebeditor v6.0.0
; b; t0 ~ u- F" w6 _! ~8 o( z. y6 ]/ u8 l& g
以前的ewebeditor漏洞:
) M+ k5 g. \, m" a8 N6 q2 J% f" [9 q' {$ w0 H
ewebeditor注入漏洞& L; D) P# ^* n O
0 p% p, [0 z6 S9 Y- t; t
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
# b* F' m* [6 Y默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
- V) g% h. r* h# _6 N) i今天我给大家带来的也是ewebeditor编辑器的入侵方法
! `$ n" x: m( l" G/ }6 i r2 m不过一种是注入,一种是利用upload.asp文件,本地构造7 F1 L/ L! A/ U6 j. q3 B9 X, S
NO1:注入
5 G5 W6 y, M' q' O* chttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200* t( z. t0 n: _' b7 d, r1 z
编辑器ewebedior7以前版本通通存在注入
; [* V E! N$ S$ z+ f! q3 J; `直接检测不行的,要写入特征字符; I9 z, @, {9 x& G& g+ q0 l( d
我们的工具是不知道ewebeditor的表名的还有列名
7 B; r+ w/ t6 X' N我们自己去看看8 I& `, q4 E+ E) J
哎。。先表吧' m9 q/ o5 C5 q& W3 ^- Z: \
要先添加进库$ h; o# K/ p% ?
开始猜账号密码了
. c. G3 F6 h3 W$ Z" L+ e我们==
# r# j% \" M& r: Z" t心急的往后拉3 A, m% ]/ M7 p
出来了
& s4 C @3 Y% [9 [8 }6 ][sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120- n; R7 r" `, M6 r% t
对吧^_^
1 _6 w) z8 J! I9 V4 {) p) C后面不说了
6 h6 {- p O! g6 ^" HNO2:利用upload.asp文件,本地构造上传shell1 h8 {" ^. E7 y: h& S* P8 V# P
大家看这里, ^8 O& [9 Y+ D1 Q8 f; x' u' H6 Y) Z# e
http://www.siqinci.com/ewebedito ... lepreview&id=37
, s4 r1 v# P( S& J如果遇见这样的情况又无法添加工具栏是不是很郁闷
' d0 A Z3 \9 j; `% O6 [, F现在不郁闷了,^_^源源不一般
1 w W- b; w% U5 L) x0 \+ V$ M ~我们记录下他的样式名“aaa”
! [) |* P. u1 x j' N# F我已经吧upload.asp文件拿出来了' \# ~# ]" h" Z7 b
我们构造下
8 W+ @+ @# @% b; E) GOK,我之前已经构造好了
' B! ?: j3 T5 {1 N9 p/ @. u1 I其实就是这里* L( s1 F; a9 S- m M$ N
<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>/ G0 f" R* b. [3 |2 r; S
<input type=file name=uploadfile size=1 style=”width:100%”>
6 c/ R( V( l9 P) r: x& K0 \. ^<input type=submit value=”上传了”></input>
* \# a' {1 a$ p0 D, Z- g</form>8 U2 b& W3 s3 N
下面我们运行他上传个大马算了
2 i7 R) {' c. i$ V; g# F6 IUploadFile上传进去的在这个目录下
; W+ k( Z. g$ o2008102018020762.asa( \! J( L3 q0 C2 g+ O7 W6 i$ \
$ k) E0 Z2 X0 z
过往漏洞:
" k* ~4 _8 n( d/ ^1 z4 [% Y6 {8 U9 G0 U! ^& K
首先介绍编辑器的一些默认特征:
$ j& l" h. e# N* o' J3 n默认登陆admin_login.asp
8 A0 D7 }5 H- E. C) D% ?( m默认数据库db/ewebeditor.mdb
& b( `' z/ o3 ?: d默认帐号admin 密码admin或admin888+ N6 M" c3 \% _
搜索关键字:”inurl:ewebeditor” 关键字十分重要
3 F2 K& e1 P6 a. K6 Y7 [, u有人搜索”eWebEditor - eWebSoft在线编辑器”) _+ o2 @, Z4 z& x+ G. B6 l, @, X
根本搜索不到几个~0 b" L$ J, @% f0 v, o! E$ f' L) Q! ^
baidu.google搜索inurl:ewebeditor
2 q& k; G" M- z- E M. p6 n几万的站起码有几千个是具有默认特征的~% i' z% J; y# t0 o9 X
那么试一下默认后台
& h$ \( Z3 l9 H+ T2 s$ ^http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp: V% Z3 D7 n g, S8 O) S
试默认帐号密码登陆。
! L! j% ~3 d% u% a利用eWebEditor获得WebShell的步骤大致如下:* Q, S, i; n4 ?6 n" y
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
8 N2 E6 x) w$ W" l% J! M2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。2 @$ ?8 L) @% O: ]) t: |! }6 K
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。; T8 E# l# S$ F9 v/ F
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
7 ?$ F- x. u" R$ l6 }4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
9 {2 G7 O$ W" ^/ x然后在上传的文件类型中增加“asa”类型。
' K7 f# i! s! v' t5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。: W' Z8 C* x4 T" ^
漏洞原理
9 O U' |7 T: ~! x漏洞的利用原理很简单,请看Upload.asp文件:2 U: V2 k0 J) a% H8 G
任何情况下都不允许上传asp脚本文件+ `1 D2 v6 A U% `
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
! W' s% H. a- g因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!6 f& H; Y2 O4 x& r5 t/ s5 l
高级应用# U8 a; {1 o4 L
eWebEditor的漏洞利用还有一些技巧:* ~( \* n* v4 e7 D5 }+ R
1.使用默认用户名和密码无法登录。
! z$ Q0 ^; n/ x! m6 R. Z9 S请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。. @- m4 b2 v0 h+ X
2.加了asa类型后发现还是无法上传。$ q! m9 N0 m) Z$ f! r8 c
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
2 r9 J' C+ w( a, B! r2 O$ S1 D) R3 |sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
- K: m3 [5 w' `7 s7 I6 j( A( R, `8 Q猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。7 [( _, X& i7 b9 U" }" ^' z3 V3 ^
3.上传了asp文件后,却发现该目录没有运行脚本的权限。0 ]2 ~0 H1 x: c7 m$ u
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
: Y+ Y- u9 C1 s4.已经使用了第2点中的方法,但是asp类型还是无法上传。
% k/ b8 {/ U; X7 E7 g% e2 n看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
# e1 g! a; t& `8 b; }后记/ l' g9 ^% Z6 h, X9 Z. \
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!- r) r' c8 F# j& n+ a* [9 C9 k
基本入侵基础漏洞* S' L7 t# R* s
eWebEditor 漏洞0 Q R' V6 s5 J' u+ a; j* G( p
& ?# g/ w' d% b( I1 m各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! . ^- x5 {- [$ s B" w
) o" F9 W! V! B/ {
漏洞利用
% K* y5 a4 K* ^$ n4 N2 p7 \利用eWebEditor获得WebShell的步骤大致如下:2 }& R* Q: ^2 ^1 r, @* P! g5 ?9 U
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。3 w( e5 w6 \' G m( R1 z: x
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。
2 N1 O, o( q( Q5 V9 k; R. `% c3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
: ?8 S; w5 `4 D8 y4 g$ E如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
. V* ^' E$ v% G" \: g4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。3 D5 V0 a k( E F+ _2 d- F9 S
7 O! N# _' y4 j2 a4 \! v6 l3 y然后在上传的文件类型中增加“asa”类型。4 D5 ]# f- H0 f8 S0 ~: t! A
% m6 Q2 t- X) `; U
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。6 X# W! V; Z0 U% s
3 A9 D1 _; H' G: S
, B; C8 ^. a E8 D/ X4 o
漏洞原理
3 c4 J/ ^! ]* g. o+ b; _' z漏洞的利用原理很简单,请看Upload.asp文件:- V" Y( i1 e& _/ }
任何情况下都不允许上传asp脚本文件
& C' S* z$ S5 `/ F3 [* ksAllowExt = replace(UCase(sAllowExt), "ASP", "")
% u( h, s; q& g9 c7 X, E6 r0 n% w因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!! E7 p. ~# m; g$ M2 M, l% p
" ^4 s% z+ c+ }+ F/ {7 X高级应用
' Y4 _: H' ^' H b7 KeWebEditor的漏洞利用还有一些技巧:
' `, t* ^; F [8 W1.使用默认用户名和密码无法登录。
% \: r/ G' ^" K3 F& o% h" D% o, F请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。# u2 O# S5 }; Q3 u
2.加了asa类型后发现还是无法上传。
* P( `5 W; l; _1 \7 s0 t应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
I. W4 {1 S/ b0 { bsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
! ^1 q3 }; W L猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。$ k5 \3 S9 J7 j5 X4 A
3.上传了asp文件后,却发现该目录没有运行脚本的权限。& G$ r2 g* e( G, L( C
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。2 s2 C4 ]5 {* c
4.已经使用了第2点中的方法,但是asp类型还是无法上传。- B1 `) a% B. P7 [$ ~* A( Q0 X( S
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
9 H: }! t& Q# o( a
1 l; b% X9 J4 z% h% \# x7 ?) E5 S后记9 o- R1 u# n }
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对