eWebEditor.asp?id=45&style=standard1 样式调用& m( B* W/ m2 }* f9 y9 [/ q1 z1 l5 O
" o. z# N" m5 a; t* Y# r$ x5 g3 I4 U( Y5 a' T% @8 m/ d2 e- X7 c$ j; ^
/edit/admin_uploadfile.asp?id=14&dir=../../.." ?, G# h5 g, ^* f! U l9 ]: I
可以浏览网站目录 ../自己加或者减( g( U3 V- U. @1 {1 n) R
9 V9 i0 U6 k5 k. W. I5 G) |
有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
( B% h1 `* b' j' @$ G8 U- Z简单利用就是, j1 \7 f( K, T
http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v2004 R% l7 g# O7 w. I# q# h
http://www.siqinci.com/ewebedito ... amp;style=full_v2009 |+ m+ P! K, g* T# L
可以利用nbsi进行猜解,对此进行注入! H& f% e5 |! { V
还有的时候管理员不让复制样式,但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell,但是上传插入工具没有,又无法修改怎么办那?也许很多人说应该可以加工具栏,但是我就遇见过不让加的& K4 @8 w% [: M% \# U
这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下:
- z+ n6 @" w+ X# H" i7 K" i6 o在action下面
& r: ?# S& }3 k6 S1 \5 l# n<form action="http://*********/edit/upload.asp?action=save&type=ASA&style=test" method=post name=myform enctype="multipart/form-data">( s0 e: u! X- W8 ^! \! @; _; f0 k* }$ I
<input type=file name=uploadfile size=1 style="width:100%" onchange="originalfile.value=this.value">, w7 x3 W1 o, I# `
<input type="submit" name="uploadfile" value="提交">3 [0 d/ y8 N) X. j/ e3 T. N% ]
<input type=hidden name=originalfile value="">( ?1 h& C) S: u8 ], b1 w0 e
</form>
" |- I& Z8 r2 m( g------------------------------------------------------------------------------------------------------------------------------------------------5 @( M- l3 S* o1 V0 N6 d3 }2 n
<input type="submit" name="uploadfile" value="提交"> 放在action后头6 J. m9 S0 K4 ~/ h* k
,适合用于在ewebeditor后台那个预览那里出来的 比如上传图片那里,有些时候上传页面弹不出来,就可以用upload.asp?action=save&type=ASA&style=test 这个本地来提交,不过这个东西还是要数据库里上传类型有ASA才可以传得上。
4 Y9 M' N* Z) y% ?% h+ p5 d9 {' t0 x; I0 j) W. n
0 V4 Y) A) R2 {! t! K2 M5 @7 ]: D0 y
B0 q- D) Q4 b: m# I$ fEwebeditor最新漏洞及漏洞大全[收集] (图)0 i+ C9 I1 ]2 O" A a
本帖最后由 administrator 于 2009-7-7 21:24 编辑- I' ^& [2 @0 o: D: n" y& ^/ X
" c" [9 u3 v, [5 a& i. E6 R以下文章收集转载于网络
" z' Z O+ @: m" P& d/ O# f#主题描述# ewebeditor 3.8漏洞[php]# p1 j5 r h) W+ J/ N8 Y6 A% @
--------------------------------------------------------------------------------------------3 W; Y! H9 P! [) n' q Z) t
#内容#/ `8 v$ f3 f7 S3 }
php版ewebeditor 3.8的漏洞
4 z) A1 }0 K- ^4 G% {php版本后台是调用../ewebeditor/admin/config.php,大家去看下源码就知道,在这里我说说利用方法:% t8 {7 R1 W5 I3 L7 v
1 首先当然要找到登陆后台,默认是../eWebEditor/admin/login.php,进入后台后随便输入一个用户和密码,当然会提示出错了,必须是出错的时候,然后这时候你清空浏览器的url,然后输入 javascript:alert(document.cookie=”adminuser=”+escape(”admin”)); javascript:alert(document.cookie=”adminpass=”+escape(”admin”)); javascript:alert(document.cookie=”admindj=”+escape(”1″));后三次回车, Z: F Q/ D; F# [) R
2 然后输入正常情况才能访问的文件../ewebeditor/admin/default.php就可以进后台了
9 @) |7 c C0 t/ N3 后面的利用和asp一样,新增样式修改上传,就ok了
, k# s h6 P& i; S1 Y% b测试一下asp 2.8版本的,竟然一样可以用,爽,看来asp版的应该可以通杀(只测试2.8的,貌似2.8是最高版本的)
7 E8 F; d2 g6 n8 daspx的版本../ewebeditor/admin/upload.aspx添好本地的cer的Shell文件,在浏揽器输入javascript:lbtnUpload.click();就能得到shell2 g5 \7 j0 U/ M$ ^4 {' w! S
jsp的上传漏洞以及那个出了N久了,由于没有上传按钮,选择好要上传的shell,直接回车就可以了
! V) M) Q# b$ k( i' l--------------------------------------------------------------------------------------------- _4 G; \& ?- y5 H
( }: O! }+ o4 c# S+ \
' t- }: f" C$ B2 z' A$ y& {5 q算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。4 ]* J5 x3 {3 _8 E1 D4 G0 p; }- u
2 {: T% J1 N. m2 G: f
漏洞更新日期TM: 2009 2 9日 转自zake’S Blog8 a- ^( v5 m, a- V! I% a+ t" I
ewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了, h! y, M, ^4 G \3 S7 P
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。/pic/3/a2009-6-4-7341a1.gif.asp搭建好了 ,在官方的地方执行网络地址
. {3 s" M/ z6 ]4 a
) O, L4 K+ @$ {* G3 n6 o3 c8 U/ t# `3 w6 j J
然后确定以后,这里是最关键的一部!& w* C3 ?9 a2 z: m0 Y+ B8 b7 l& Y k
这里点了远程上传以后,再提交得到木马地址
& P; k4 w1 V$ ^' c% Y5 {由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限
v, x$ N& R# X* O# s2 N属于安全检测漏洞版本ewebeditor v6.0.0
+ t1 f( j4 V1 q* q( h7 o$ W# `/ a0 _: u# Z
以前的ewebeditor漏洞:; R4 M( l- I6 H, N! B2 {& u: _
6 z& O) C) O9 ^# Z
ewebeditor注入漏洞( Z5 V3 ^! \( m& L0 @
# N% T. M% e+ v: b j' I* F, v0 v大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
f* C4 ?- h! M) @ M* m8 A默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
. S* h% P- O# h' X今天我给大家带来的也是ewebeditor编辑器的入侵方法
|+ Q! g6 u5 ?- E+ }不过一种是注入,一种是利用upload.asp文件,本地构造, k2 @' t" T! v1 W6 q
NO1:注入
# n# B; [* R- M( k* Qhttp://www.XXX.com/ewebeditor200 ... amp;style=full_v200
+ c: v. s0 I& {6 V$ a% `编辑器ewebedior7以前版本通通存在注入% w u( }; I& J& _+ X1 q# V
直接检测不行的,要写入特征字符
! g& w( L- E7 x: n. `( B0 R/ o# ?我们的工具是不知道ewebeditor的表名的还有列名
" U* ~4 p; u5 t" g; }我们自己去看看, d* m2 i( j* V; n: r' h5 ?
哎。。先表吧9 g2 ^+ I9 I/ E$ i6 I& W. R3 A
要先添加进库9 g5 V/ G' n5 x4 L7 I
开始猜账号密码了9 \9 t3 N% ^/ d3 y4 {
我们==
" k7 N, b5 ]" c* _) l心急的往后拉
# z5 S' [: X" x- p+ c8 y9 t8 C出来了
, `6 @9 V1 S+ E[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
2 S1 T& ?% [* H* y0 @4 S: \对吧^_^% c s1 y6 h( ~4 `
后面不说了
- _9 j% a* Q. ZNO2:利用upload.asp文件,本地构造上传shell
$ k' R& q; `3 a# a0 l+ U! g大家看这里
( d- ]* H2 L0 X; z/ _/ Whttp://www.siqinci.com/ewebedito ... lepreview&id=37
: Z) q1 ~7 K' c. w& B; m如果遇见这样的情况又无法添加工具栏是不是很郁闷$ u0 f7 }* u0 t3 L, ?; U1 v
现在不郁闷了,^_^源源不一般
+ ~: w% u8 w) @* t5 |! b我们记录下他的样式名“aaa”
) n5 b5 n4 @9 Z1 O6 l. \我已经吧upload.asp文件拿出来了
2 a; M% w- ]+ v- ?8 t我们构造下5 D- _* t$ R1 q Z
OK,我之前已经构造好了
- D* `: b5 f# B3 n& v( W其实就是这里
- i1 o/ p0 G" I& y. J3 E3 A5 T6 W<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
( A% e. h# ~* m0 u$ e, L& L<input type=file name=uploadfile size=1 style=”width:100%”>
- |* V9 U- c" Q& W) @$ @3 X, F8 X<input type=submit value=”上传了”></input>
. Z4 D$ u2 C' G3 v* y+ h</form>
. w, v$ Y: G6 q: b( o下面我们运行他上传个大马算了/ C Z9 j/ O; e/ j$ U. c X
UploadFile上传进去的在这个目录下* N }# ^9 U0 u* M* P6 G$ a$ Y
2008102018020762.asa
& T' c! x5 I' q% g% _1 v' D# ?6 M7 s; k6 E, p/ \7 B" A
过往漏洞:
9 k3 _& e, u. H: H6 Q2 I8 o9 }) ?) J6 B3 N% t+ C
首先介绍编辑器的一些默认特征:9 ]' l6 Y' \, B& {) S
默认登陆admin_login.asp" M6 l; w/ ?. o5 C- c
默认数据库db/ewebeditor.mdb0 ?$ j( m3 O, D4 R: S, b
默认帐号admin 密码admin或admin888" f& P! X) N& T- r& H9 g! F
搜索关键字:”inurl:ewebeditor” 关键字十分重要. d9 S9 y, m v* _9 O) V" v" E
有人搜索”eWebEditor - eWebSoft在线编辑器”. D/ \0 S! c: B* \3 [3 a
根本搜索不到几个~1 o! R! F/ O, T7 L' z* b
baidu.google搜索inurl:ewebeditor4 ?7 l9 N/ a+ v7 ?% k5 Z
几万的站起码有几千个是具有默认特征的~
# d0 R1 x8 U( J4 Q那么试一下默认后台
& F. ]3 ~" U+ j! s% Ghttp://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
- G' b$ ~+ m. K9 z4 W p8 }* x试默认帐号密码登陆。# J6 |) i0 p/ C/ o+ |
利用eWebEditor获得WebShell的步骤大致如下:
* |/ Q9 F. C h% B" Y& ]8 r3 O1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
/ t0 E+ Z; I3 f2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
7 j9 k0 V. e1 M. d0 ], c3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。" H, c# {) e# ^. t6 [/ E# L
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
( z+ z2 L. U0 Z3 ?" v+ w4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。: W% u/ h+ b# t, ]2 C# D: t
然后在上传的文件类型中增加“asa”类型。
' f6 v2 b0 D6 f+ k, Y7 R5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。
1 F0 a, y2 F7 M9 @* ?漏洞原理
0 r# I* n i7 {/ d5 ^/ y漏洞的利用原理很简单,请看Upload.asp文件:) X' X9 o" i3 U8 N/ n- T
任何情况下都不允许上传asp脚本文件
/ _9 u& h2 K5 L/ B0 VsAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
: e/ ^: c4 U- w0 t/ N因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
9 L# j' o5 f: O& J3 C# S' S高级应用4 Q/ Z, Y/ h2 }- Y% p. k: Z! \
eWebEditor的漏洞利用还有一些技巧:
6 }& S$ N3 j' k6 j$ Q8 f2 n0 j1.使用默认用户名和密码无法登录。
5 }; u" Q3 K5 z' I d请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。+ J% @! }2 e. O4 R( _
2.加了asa类型后发现还是无法上传。
; {, E) V7 s; L8 C7 J应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:; Z* U9 S1 g* z/ b2 d
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”). A$ B6 k4 y. w4 U
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。3 s2 G9 Z @( \1 j3 a/ p2 f/ f
3.上传了asp文件后,却发现该目录没有运行脚本的权限。& c: k# t# a$ }' h# z( x7 u
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。5 i j3 g$ G8 \# |( J
4.已经使用了第2点中的方法,但是asp类型还是无法上传。: o. \& Z0 M d* v6 Z
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。- t4 t% H) q! L* i
后记$ [3 x5 {5 m4 f8 y3 K
根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!8 p( V% _) a2 k: }4 g
基本入侵基础漏洞, g$ A& v$ Z( l& t% B' y
eWebEditor 漏洞1 {+ g2 n! Q' M- C6 Y) ?
2 ^0 k0 {/ Z$ S7 t& @2 E各位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下一个被黑的就是你哦! 6 U' G8 B# h* ]+ K5 W: f G7 l
" {( M9 C( ?. y$ F# Z漏洞利用
0 s/ l/ s- }/ c( a+ j$ g C利用eWebEditor获得WebShell的步骤大致如下:
# H! }1 [" @, o0 ~1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。
7 h+ j7 H8 t0 H% \# ]5 P2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了 eWebEditor。然后记下src='***'中的“***”,这就是eWebEditor路径。2 i @% D- _+ y) _, I7 T
3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。! K1 V0 \* x: R) c2 z
如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!6 Y( ?+ x1 R0 A! {6 \0 n* ^4 ]
4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。5 R4 z* L/ {' _1 c2 b% @" j
$ O( P1 |6 \) N6 w H( R( y
然后在上传的文件类型中增加“asa”类型。& b% r8 c2 w9 z! W8 S& i
& { X- o3 u* V2 ]2 n
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。( T# {. g, z% h* l- b
( J$ k+ Z! R7 ]% w( i( m% i7 Y. S0 c( J
漏洞原理: Q/ o0 ?& y; @) l8 y4 w: L; l9 r
漏洞的利用原理很简单,请看Upload.asp文件:# K1 A% {. z7 Z( C- v
任何情况下都不允许上传asp脚本文件5 L8 ~, y- @, W
sAllowExt = replace(UCase(sAllowExt), "ASP", "")" H& ^- \, J+ j6 Z! h
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!: A7 n8 G/ v% F# G0 K2 X" e
0 ]+ X4 E& g, [* t x& b
高级应用
+ v6 u- `4 J, _0 s- d) L" `eWebEditor的漏洞利用还有一些技巧:( V0 B/ \) n5 T: T
1.使用默认用户名和密码无法登录。
8 V# m9 l; J6 V' F; k请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。* t/ x+ q) R. {$ s6 I X0 \
2.加了asa类型后发现还是无法上传。
' |7 K$ |4 n1 {应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看见过一个站长是这样修改的:) c% G: _+ n. A% k0 P. s; t9 @
sAllowExt = replace(replace(replace(replace(replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")- T5 D* N+ [5 X% d
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
$ G3 S- D0 U- w) b- d+ K* t* V7 Q" Y3.上传了asp文件后,却发现该目录没有运行脚本的权限。
& ~' U- J) J- q9 b* h. H呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。' j& j4 T' V1 j6 Z
4.已经使用了第2点中的方法,但是asp类型还是无法上传。4 [$ ]0 \) h: c; c) h4 D- l
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。1 X* ]3 e* W+ }4 Q) _4 H! `3 L# p) Y
- L, I- |8 i7 w* }5 Q2 @后记
4 c+ M& f; M; j7 F根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索 “ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上! |
发表于 2012-9-13 17:00:58
收藏
支持
反对