算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
$ p: [" u4 d' K5 U' q: t7 J( a+ b2 ~4 O漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
$ x4 @0 ]2 P/ }' O% |& l! W2 zewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
6 F0 Y; V! B7 Y* s那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
7 t, [" n& m8 `- T) T
. @2 K1 d, {; D' k f+ k$ ~. b由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
\, l4 x. {- _2 z0 A0 Z属于安全检测漏洞版本ewebeditor v6.0.0
- c; y. q/ P' a
) `; `8 M% M9 w0 j+ j, Z) f1 a以前的ewebeditor漏洞:
7 b! b7 n8 S! e; ^ewebeditor注入漏洞
$ L! M! |4 t% e, `大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb1 d0 B, h& \/ G* f' E# F, g3 G
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话( Q' b( \5 Q8 e9 |
今天我给大家带来的也是ewebeditor编辑器的入侵方法. d. O+ g; t5 p5 h2 o! x
不过一种是注入,一种是利用upload.asp文件,本地构造
' Z8 a3 z U: ?# T/ RNO1:注入9 F! |8 t% K X8 g. V8 b
http://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
) N# F8 s- Z5 t7 _" O$ G编辑器ewebedior7以前版本通通存在注入
' e8 a9 G! `3 B3 y直接检测不行的,要写入特征字符
( E, V3 z3 O' w) W2 o$ g+ B4 ]% f我们的工具是不知道ewebeditor的表名的还有列名& S% i2 _( W B
我们自己去看看
( k0 l6 K7 N# [- c Z" c哎。。先表吧
# q; \* u g3 g- f. J要先添加进库
1 V$ Y4 p1 D5 E. \/ H开始猜账号密码了
1 t1 D) n9 s+ ^我们==, h+ \- ]) }7 }" t4 P' e
心急的往后拉
% _1 L4 E/ W, q( D+ ^3 z出来了' a7 b3 w- U% G3 p6 P
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120$ u) T" M6 b' ^
对吧^_^
, R L ^; f$ h* x后面不说了7 |5 h4 n; N6 C% m4 W( A$ U
NO2:利用upload.asp文件,本地构造上传shell
& e. u! |, u. S: c大家看这里
) ]5 j" B# A! Ihttp://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37
- ~. j# Y1 G2 g/ Z0 a如果遇见这样的情况又无法添加工具栏是不是很郁闷' J1 n" L3 A3 A+ S8 p' X: L
现在不郁闷了,^_^源源不一般6 w1 i; S& Q2 Y! ~
我们记录下他的样式名“aaa”" `) @& g# Z5 U5 E5 d* r6 R
我已经吧upload.asp文件拿出来了
/ ~: \' m# K6 O+ {6 h3 d我们构造下5 E* x5 F/ l. U
OK,我之前已经构造好了
, C8 H4 z. o) Z* ^: J/ J+ g0 [0 {其实就是这里
# N9 x+ [5 o" a" I" H( E<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>) |4 Q# z! a, u% E7 \4 c2 y/ T: Y
<input type=file name=uploadfile size=1 style=”width:100%”> G9 D$ C' g; R& V( c
<input type=submit value=”上传了”></input>
a: H+ V& w* Y5 F. t</form>- i6 {7 _4 t- Z1 T
下面我们运行他上传个大马算了0 g& W6 b8 O2 y: F
UploadFile上传进去的在这个目录下
5 x1 y4 M0 c" n2008102018020762.asa
- e8 D; }% @8 |过往漏洞:! {& N! x/ T) Z7 s) }( W t- {5 P
首先介绍编辑器的一些默认特征:
' G8 _$ c0 ^% m默认登陆admin_login.asp
( c' F0 \1 Q& _/ ]' M默认数据库db/ewebeditor.mdb
1 x( x( V% ?( J' ?. R5 a默认帐号admin 密码admin或admin888. [- b7 B4 ~/ @" D' q
搜索关键字:”inurl:ewebeditor” 关键字十分重要
9 l1 M6 d6 f/ |# \6 s有人搜索”eWebEditor - eWebSoft在线编辑器”' h* y+ J; V: y" E M7 D% ]) e
根本搜索不到几个~
; s8 r/ p4 Y2 Y. h8 I6 A5 Ebaidu.google搜索inurl:ewebeditor+ w$ _: F9 y, x) P% j$ z
几万的站起码有几千个是具有默认特征的~# d/ j- C+ Y) G8 W0 Q* V0 d! U
那么试一下默认后台2 s( R4 s4 r+ E+ W' W' R& M
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
! j8 ]2 e/ Y; Q- p* K3 j试默认帐号密码登陆。
8 \8 _9 v% Y) A: H5 ?4 d* n. F利用eWebEditor获得WebShell的步骤大致如下:
1 V4 V* n9 x* a3 O" \6 a% G1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
9 j# i- L: y" H% o! N% k. {2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。2 y! q, S: [2 `; v
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
% i3 p: i4 P: j" ~, x如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
& L- c: P: E+ A4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。% c. E2 s- h- u$ f) Q
然后在上传的文件类型中增加“asa”类型。
1 Y3 k) E- [8 u# @' _2 o5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
! y. m* M# F, E' t& U漏洞原理
. t0 u: g" r0 G1 ^漏洞的利用原理很简单,请看Upload.asp文件:2 k$ d+ _2 t% [. f9 j; h
任何情况下都不允许上传asp脚本文件8 E( r8 o! J! {4 u
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)! D5 A" F. @8 C# p# s0 D g- T
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
3 D' h% }' @/ V, L& t6 W. N: H" u高级应用9 u) t# J, U" H; d* P$ ~: u
eWebEditor的漏洞利用还有一些技巧:% m, T- {% `# }& d* z x1 R
1.使用默认用户名和密码无法登录。# i$ m- W2 C: V8 v2 V$ T" V! h d0 f! w: `
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
1 @8 v5 {7 [9 T6 U2 a+ U2.加了asa类型后发现还是无法上传。
* O+ R7 q' V. k0 F# b应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:' l+ y. K- X+ R3 [
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
' m# t8 c. v7 Z' a s q# o猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。$ f/ ~9 n$ p' ] V K0 I" E; o" ~1 i
3.上传了asp文件后,却发现该目录没有运行脚本的权限。2 G5 ^7 c1 E: [% Q: V! d
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
( H1 W: E* J# p6 q# [* _% v4.已经使用了第2点中的方法,但是asp类型还是无法上传。. C+ V5 b5 K- H- w" h- g; n/ g& q
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。
0 n: b7 U# s7 K7 r6 l: o3 N后记
! H! l) W/ p* M4 S' I7 Q' l( t根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!, ]8 C' P& }- s- J
|
发表于 2012-11-18 14:24:49
收藏
支持
反对