eWebEditor.asp?id=45&style=standard1 样式调用& T9 q* C3 j) O5 u: z" B
% {8 f) s% E, P
( y, o# Z) m3 J% |. U1 Z0 W+ s/edit/admin_uploadfile.asp?id=14&dir=../../..8 c7 K! V/ U0 Q& H: P- V5 A
可以浏览网站目录 ../自己加或者减/ m3 Q0 R7 I# N3 C7 A4 |
& [9 {4 e2 i, q$ d) _4 Q
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞% S! Q6 U! O# c A, \( D1 `* g& {
简单利用就是
* [5 U5 n" D3 P) c8 T7 Yhttp://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
( Q+ I8 V* t$ g. T2 O! l* `, o% ehttp://www.siqinci.com/ewebedito ... amp;style=full_v200
! R, p: U' ]/ G5 M- x- `$ g+ b可以利用nbsi进行猜解,对此进行注入1 B; W' P! b" _4 W+ s
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的, @8 H0 {5 G; B! K. y# Q+ m
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:: ?1 m: n/ c P4 Z6 H3 V" Y
在action下面
' l8 d; J+ g# y3 I& j2 O2 M<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">) K0 m( ^" X8 c4 X
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">
% m( _, x. w2 \. y! @. j; u+ r L<input type="submit" name="uploadfile" value="提交">( F8 d' ~, v0 X( x1 S$ c
<input type=hidden name=originalfile value="">
/ x8 z- ?" N: O& V) N! g</form>. _. @" W. ^' S4 L( N
------------------------------------------------------------------------------------------------------------------------------------------------
9 t# G4 H5 F8 n0 Q ?2 ^<input type="submit" name="uploadfile" value="提交"> 放在action后头& X! T8 O/ F7 @+ m% `+ J9 Y
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。# |1 W! \5 b4 { T$ I, ?! l; C' u- C
/ o2 S* [1 v0 Z; M' _% { w! V! e
9 C4 Y: c. g8 K4 b C) ^! x
% c$ q# \, x% M$ D* \6 ]* v7 [
4 h- `0 n+ I9 ^6 {% N0 qEwebeditor最新漏洞及漏洞大全[收集] (图)
2 M$ N+ p9 `: I! d, N! y$ o本帖最后由 administrator 于 2009-7-7 21:24 编辑
/ P$ q+ h' ]. x8 R. r8 W0 G: F8 W) W/ o3 u, i
以下文章收集转载于网络
. v4 g+ k5 m* B. {+ M#主题描述# ewebeditor 3.8漏洞[php]
0 o- t: }+ {% r2 N1 I6 K' j) I--------------------------------------------------------------------------------------------2 o) n! u: W# W$ V0 R/ Z0 w o
#内容#
; [6 j% u3 N2 Nphp版ewebeditor 3.8的漏洞) y1 s- t- B' o: W' k
php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:; X& x9 @* r! E7 W7 Z5 Z- @ M, b
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车,+ p* Q( l% X* h/ N/ W
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
9 v, v( D/ P9 I3 后面的利用和asp一样,新增样式修改上传,就ok了
& Q; f3 l3 d8 ?' t2 E测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
8 h1 P1 Y& |% f" ]; r$ _0 |. I \aspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell
0 n4 f' L% e S/ k& X+ J5 m2 cjsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
E7 [0 q" i1 N7 S--------------------------------------------------------------------------------------------
1 D' ]. P; T8 |( k1 W
M% T) z: [' {1 p( j9 X2 Y' G9 B
算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。8 b/ f6 M5 \: e, A# H4 {( z: N
5 l0 T2 C4 e, p" d* j0 H& r
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog/ P: V7 _5 j; L: _8 ~+ ], v# i7 O
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了
' h/ H! r1 A, T8 j' v1 M那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址% e' g, W) e) [& ~; [# g
$ D& H/ q2 j) _5 i* \, z
6 d4 W, I7 v3 @) Z9 x' E
然后确定以后,这里是最关键的一部!
) G9 V0 h. w% t( X; \这里点了远程上传以后,再提交得到木马地址) r4 u& x4 e) [! C8 G& v" m5 n8 ]1 P
由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限% D. v5 Q" u2 Q9 P& ]8 |
属于安全检测漏洞版本ewebeditor v6.0.0
/ W1 M8 I# i+ V5 b5 ^0 R8 D! j( z
Q( ]! q: _0 |# t& v( q( _# H4 u0 [以前的ewebeditor漏洞:5 l5 T! W4 G/ w6 m( ~. F
+ H. q" H" a7 t/ X' c& G, \ewebeditor注入漏洞
, m& Z, p9 _- L! l) w5 S$ k- f& |" T7 T; F$ Y
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb; Y y. S- j6 w3 ?; a
默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
3 m; d+ n/ ^, a% X0 b* V今天我给大家带来的也是ewebeditor编辑器的入侵方法( Q! v B* h/ g* k3 ^
不过一种是注入,一种是利用upload.asp文件,本地构造
* P' w. E# y9 {, p3 U9 YNO1:注入
* w" [- P( y( s Whttp://www.XXX.com/ewebeditor200 ... amp;style=full_v2004 Z4 n' v0 d; U& U7 H8 c% h
编辑器ewebedior7以前版本通通存在注入
7 ^; ^' h3 e& _直接检测不行的,要写入特征字符* O# d6 d9 Q4 E" b* G6 E
我们的工具是不知道ewebeditor的表名的还有列名
% t7 ]* F0 e; ?0 x. h; w! [我们自己去看看
- e+ Y7 m. T @& J+ U9 h& d/ J7 ?哎。。先表吧/ w2 [3 |6 T! d$ @* K
要先添加进库
" s3 C3 A5 M; @9 N) |& d4 v开始猜账号密码了
3 x d% |1 j- G: o h4 d0 i我们==
; }# w7 z7 |# \/ g# ]心急的往后拉
* F9 l4 @" X( ^2 C: i8 X( p6 ^9 S出来了
! I; @) h' D* G; ~/ z[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
' P' m3 E" S9 o, O( @4 c对吧^_^. m* k. N0 g: D+ Z" A5 z5 Y3 C% ]
后面不说了7 \1 P8 `( R* v. R' _
NO2:利用upload.asp文件,本地构造上传shell
7 c' e, c2 `3 W: O: E大家看这里9 ~5 G" A3 ^- f. l6 B' T
http://www.siqinci.com/ewebedito ... lepreview&id=37% m$ K7 C% X# W
如果遇见这样的情况又无法添加工具栏是不是很郁闷
- y8 T/ X3 h3 k现在不郁闷了,^_^源源不一般
3 r1 n* A# b- I. V! ^8 h! z我们记录下他的样式名“aaa”# s' w+ a7 _$ [
我已经吧upload.asp文件拿出来了
- r* @2 v! ]" ^& ?6 L2 i! k* k/ R我们构造下
5 s D& p8 x: O2 T3 JOK,我之前已经构造好了
' Y5 |6 g% a; F/ I& ^% Y其实就是这里
6 K* B e9 s/ e5 \<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>/ O5 t4 ]8 h$ E; \4 d! S
<input type=file name=uploadfile size=1 style=”width:100%”>! ^; e7 Q1 U8 u' R' E: T$ L
<input type=submit value=”上传了”></input>, p/ n4 f' n: |$ Z) s( Q* M
</form>
5 T0 v; @" d- U, K# w# Y下面我们运行他上传个大马算了, P: B& Y: i( j, k( _3 S4 e
UploadFile上传进去的在这个目录下
7 g- l; I$ j( j* T7 k2 ?2008102018020762.asa* c' e' v) c3 L" S8 B
, i1 ~4 X( q8 q, \% Z5 N! W过往漏洞:
4 L( g, k f& h$ w
5 n, A2 ~7 t" Y# W8 I首先介绍编辑器的一些默认特征:
0 q. h7 D+ B9 p& I9 _3 S, P默认登陆admin_login.asp
" u9 a+ B% P8 B) F默认数据库db/ewebeditor.mdb5 _6 |0 C$ _0 M8 N
默认帐号admin 密码admin或admin888
5 T# h" p# j' O6 H5 b N搜索关键字:”inurl:ewebeditor” 关键字十分重要
6 u2 E7 N: u' m) g: u+ p有人搜索”eWebEditor - eWebSoft在线编辑器”
6 u2 E* u: O1 ?% g根本搜索不到几个~
" H+ U W$ o8 s6 W2 B" Ybaidu.google搜索inurl:ewebeditor5 Z+ W }. n. W- E7 H. G8 E
几万的站起码有几千个是具有默认特征的~
& X* \, Z. h3 Y* X# t8 f) e+ M那么试一下默认后台& l/ @8 l6 `" W( t
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp! {3 v1 p& b$ Z9 U9 j
试默认帐号密码登陆。
7 x+ `( l2 {$ N" f3 H利用eWebEditor获得WebShell的步骤大致如下:; x7 u" u; W# q/ N4 Z- {- x! m
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
3 V8 z+ J4 ]6 h7 k+ R, l2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。) M: y3 \" U. A4 Z' t
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
: g- C* S; [' g. x如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
2 ^- o* v. w9 d' B0 a4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。' z; _. V' o( m* P% p) ?
然后在上传的文件类型中增加“asa”类型。
% O. o; J4 q1 E' }5 ~) \5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
' u7 A& J+ J. b( N5 w9 P# c: c漏洞原理
5 f; z' t+ u# n0 E漏洞的利用原理很简单,请看Upload.asp文件:
' g7 `( @$ s C2 ~& g任何情况下都不允许上传asp脚本文件, h) M8 B! s% t, a$ F3 |& F# c$ a
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
, T2 e5 i2 b$ `" h! Z0 T2 ]; `% N因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
# y s2 p) B y8 T e) @高级应用
- J0 v* B; j1 j0 j. j: veWebEditor的漏洞利用还有一些技巧:
4 p+ d6 t. s2 \- q1.使用默认用户名和密码无法登录。
/ t) r/ q" k& ^. W3 d3 [( ~请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。) _) P2 _9 h9 v* v* n% r
2.加了asa类型后发现还是无法上传。8 }. t7 }" X# i0 c
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:7 q8 n# u# W8 O. n3 Q1 k- w
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
. n" K. [1 c& I; p) F$ N1 C猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。, m, Y. S& H* C+ i' K' v
3.上传了asp文件后,却发现该目录没有运行脚本的权限。$ k' k; P r/ ], k2 k/ a
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
( q, a5 J/ J5 _; n) M4.已经使用了第2点中的方法,但是asp类型还是无法上传。0 I; W6 ]. o& U$ N- T, x
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。5 w k. I, b3 C4 k0 O
后记) _( K8 Y- e2 e# r( C( Z& j2 O6 |
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!+ | v& n+ B4 V( r J! G: \
基本入侵基础漏洞( R3 h v) }- h. _8 h1 Q
eWebEditor 漏洞9 t$ G x' d6 M4 m) j
/ `6 y3 i- j/ L- m; q( h2 U各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! - ?" Q' ^# J$ q0 {. e, G- Y: D4 w
. ]+ t6 \. M' g
漏洞利用! D& F9 |2 n$ ]" o0 I
利用eWebEditor获得WebShell的步骤大致如下:
" g O' f6 Z$ t1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
. y# d8 p! U" X3 a6 j2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。" z' N+ u6 P X" v4 U
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
$ a, Q9 K3 j* l& N' }( W如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!$ Z' K" v y# O/ k% ?6 D' _
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
* d- L! W) g5 j3 k$ W
. }$ h0 d/ I. s# N' [- E4 W然后在上传的文件类型中增加“asa”类型。# {1 }3 O K( M( C9 J; d- N
. U+ E9 C8 f) R0 Y5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。+ }% y1 c# X* k! a) h# w% g* e
: N) _) S5 h; V
" A& O/ h: |$ V: m% b3 q漏洞原理' ?) F3 K8 U6 |1 F N, m2 a: A( R
漏洞的利用原理很简单,请看Upload.asp文件:. j. g( M9 b* ], q
任何情况下都不允许上传asp脚本文件
0 a1 J9 {/ D2 H. x8 e; KsAllowExt = replace(UCase(sAllowExt), "ASP", ""): ~* X* a) `4 _& X: n: }) s
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
5 _+ A% T) R% A/ }7 i. C4 M7 m Y3 C: G8 i" a3 q& v
高级应用
6 M5 V9 B$ m$ w) |& Z# YeWebEditor的漏洞利用还有一些技巧:
! E6 d0 A, T( X# `" B6 G1.使用默认用户名和密码无法登录。) a& R5 }1 r$ @7 p8 q3 b6 M
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。# x. N! b: @& V. r. y+ L! \
2.加了asa类型后发现还是无法上传。# j7 }, x7 I5 s# d a3 l( R1 X
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:
" J2 \: ~3 `3 H1 CsAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")+ }9 m3 p9 Y. T4 V8 P- N
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
) n+ W/ {6 e1 |0 K/ }; s3.上传了asp文件后,却发现该目录没有运行脚本的权限。
7 v# s' } w: {$ m- e0 z- L% M呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
# X( y+ j2 ]& l9 Z- w- I' s/ Q4.已经使用了第2点中的方法,但是asp类型还是无法上传。
4 i* @& S; ]$ {: {7 x# E" f看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。" }( ?. k2 r7 y3 f
/ J I% T6 d n6 }& b4 ]' x
后记
0 P$ A0 N( }8 Y根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |