算是比较全面的ewebeditor编辑器的漏洞收集,现在的网站大多数用的都是ewebeditor编辑器,所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。
2 e7 r; w, G3 [9 x! o5 G% w2 h漏洞更新日期TM: 2009 2 9日 转自zake’S Blog
* @% E7 M( l6 cewebeditor最新漏洞。这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了% W! i. I7 x* x1 R
那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。http://127.0.0.1/1.gif.asp搭建好了 ,在官方的地方执行网络地址
- w; f( G2 N2 t G
0 B/ V p. J7 p) I* z由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。
2 t# g# Y4 j, h% P- V- K3 E属于安全检测漏洞版本ewebeditor v6.0.0; J6 W' b4 E/ q+ O! P! f$ ^9 b6 b" Q
% p' m) \7 _0 b- A; L" l
以前的ewebeditor漏洞:- s! w J$ B2 b, F8 \* D$ I
ewebeditor注入漏洞8 I' i. C- ?* i7 U
大家都知道ewebeditor编辑器默认的数据库路径db/ewebeditor.mdb
( k2 b# }! b0 D w6 e2 S* w默认后台地址是admin_login.asp,另外存在遍历目录漏洞,如果是asp后缀的数据库还可以写入一句话
7 @4 R# b% C4 G今天我给大家带来的也是ewebeditor编辑器的入侵方法
4 ~ C+ R0 I7 L6 T不过一种是注入,一种是利用upload.asp文件,本地构造
1 o5 S1 X; s) m4 j; MNO1:注入
O" V" q& \2 ?- ~* Y( Thttp://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content&style=full_v200
3 Y8 R" k. M( h4 ?# ~编辑器ewebedior7以前版本通通存在注入) p, v6 n) @1 D+ F. f, ~
直接检测不行的,要写入特征字符
) K% A7 ^1 u. A/ i5 `) S& x我们的工具是不知道ewebeditor的表名的还有列名
9 |4 g" G3 @, P% C* z0 w我们自己去看看
/ k. ?. ]2 W8 H8 O9 ]哎。。先表吧
9 |" D" ~( z* A4 C3 s0 f要先添加进库
7 I: F& g& K4 G! f: P3 ^开始猜账号密码了" \) e+ w0 G& a8 T7 } @2 _
我们==: ^/ L7 f# O, t1 s% f
心急的往后拉
3 o* a1 v" K4 X$ f* V出来了
! X$ N' G; E2 ~) A5 z2 J. T1 q[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120- I$ _' w+ v! z
对吧^_^+ H9 H# B2 |, F
后面不说了! u2 m5 r. y" y
NO2:利用upload.asp文件,本地构造上传shell3 H6 [( i9 v' h A2 S, V
大家看这里
+ a5 i: J; u3 Jhttp://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview&id=37$ j0 x& K- h2 V) b/ M% o! v8 P
如果遇见这样的情况又无法添加工具栏是不是很郁闷
2 K- D8 H5 ~& h3 T o9 E9 V现在不郁闷了,^_^源源不一般
) \* h8 I0 y" X. p9 |6 ?* ?# ]& I8 G我们记录下他的样式名“aaa”
7 N& L) ^1 G% n' I/ v% A; u6 {我已经吧upload.asp文件拿出来了
% ~' {( [( w! p. x- O我们构造下+ @! M- A# ^" T4 j- h ^
OK,我之前已经构造好了5 B1 k0 D1 k9 H. t/ F
其实就是这里
p1 b4 k9 E" h, D1 X* E/ `* N5 U<form action=”地址/path/upload.asp?action=save&type=&style=样式名” method=post name=myform enctype=”multipart/form-data”>
# a% _5 K g" D( Y3 `# Q' K<input type=file name=uploadfile size=1 style=”width:100%”>
$ x, \3 ]& t6 ?& s0 y3 Z<input type=submit value=”上传了”></input>
7 i% v2 y h. O</form>
7 s- n: Y$ m9 ~6 O下面我们运行他上传个大马算了
8 \1 `7 h! v% s2 {# {UploadFile上传进去的在这个目录下
6 d# X9 u/ Z3 a/ l2008102018020762.asa
6 @% U& `: Z6 `* T2 a, H$ j过往漏洞:
\0 ^; A/ ?1 N; @7 W: X首先介绍编辑器的一些默认特征:- U0 c& k$ ^! l3 b/ u# e, D2 o: K
默认登陆admin_login.asp
: n: X% q' f3 m7 u" [) g2 J默认数据库db/ewebeditor.mdb0 T. q. L) w# m, d
默认帐号admin 密码admin或admin888
# m6 L) m0 C; {6 f; V搜索关键字:”inurl:ewebeditor” 关键字十分重要
6 Y' d# C: U9 w' }: j" J. E有人搜索”eWebEditor - eWebSoft在线编辑器”8 Q8 t' j) [% T2 [1 G" R7 X% B# S
根本搜索不到几个~& K% A9 a. `, D* s, S# b
baidu.google搜索inurl:ewebeditor
. }3 Y; H1 M% d0 k0 `/ W6 d+ z几万的站起码有几千个是具有默认特征的~, q% y7 j" |/ X: B5 b( q" q2 f
那么试一下默认后台: V. }% R: b, F
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp# t H' H0 c; D6 ]
试默认帐号密码登陆。5 n( L( _# B5 X
利用eWebEditor获得WebShell的步骤大致如下:* b& q, k. {1 u. U, \
1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。4 Y5 Q* _( Y7 v1 D2 |
2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>”的语句。其实只有发现了存在这样的语句了,才可以真正确定这个网站使用了eWebEditor。然后记下src=’***’中的“***”,这就是eWebEditor路径。
1 s0 k+ I& h: E, s; E3.访问eWebEditor的管理登录页面。eWebEditor的默认管理页面为admin_login.asp,和ewebeditor.asp在同一目录下。以上面的路径为例,我们访问的地址为:http://www.***.net/edit/admin_login.asp,看看是否出现了登录页面。
9 x' E+ i2 t1 k如果没有看到这样的页面,说明管理员已经删除了管理登录页面,呵呵,还等什么,走人啊,换个地方试试。不过一般来说,我很少看到有哪个管理员删了这个页面,试试默认的用户名:admin,密码:admin888。怎么样?成功了吧(不是默认账户请看后文)!
; o8 X; ?1 b* ~/ C; n3 w/ H4.增加上传文件类型。点击“样式管理”,随便选择列表中底下的某一个样式的“设置,为什么要选择列表中底下的样式?因为eWebEditor自带的样式是不允许修改的,当然你也可以拷贝一个新的样式来设置。
4 S) S u$ | M6 ]1 W! i2 |然后在上传的文件类型中增加“asa”类型。# `; D w# A+ b9 Y# o( @5 h
5.上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗?点击“预览”,然后选择“插入其它文件”的按钮就可以了。: q2 e$ ]7 I4 a! I
漏洞原理0 u; D; {/ p% s5 E- m* [/ D# d- v
漏洞的利用原理很简单,请看Upload.asp文件:
/ O2 ~, r5 \7 k4 |& h任何情况下都不允许上传asp脚本文件5 k- m0 ^6 D8 G& _0 r
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)8 Y1 j, r, B# [, r" ~" J
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧! \- d$ h1 |% |2 r
高级应用
6 f3 X5 n: h: P" seWebEditor的漏洞利用还有一些技巧:
. `! d& Z5 [0 C( S m7 U( n1.使用默认用户名和密码无法登录。
1 G4 @8 Q" q# ]请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。 g/ {' d4 ~4 A j0 ?: T0 H& t2 n
2.加了asa类型后发现还是无法上传。
: V" a6 m% ]9 T7 O7 ?. \应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
* h% S& D8 Q8 t0 X( _sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)5 n( w/ N0 d5 N. |. m# N
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。/ b8 v' l7 d2 f. J1 `
3.上传了asp文件后,却发现该目录没有运行脚本的权限。+ K; d# F' L$ X/ w
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
5 S# q i: t1 W w1 @6 y4.已经使用了第2点中的方法,但是asp类型还是无法上传。
: z5 `0 `8 `9 a- G看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。( w0 ^( ]7 _! }- E
后记
3 c$ G4 w% v2 i# |根据自己的经验,几乎只要能进入eWebEditor的后台管理,基本上都可以获得WebShell。在Google上搜索“ewebeditor.asp?id=”能够看到长达十多页的相关信息,我大致抽查了其中几个,发现成功率约为50%。还不错吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索几个来练练手。要命的是eWebEditor的官方网站和帮助文件中根本没有这方面的安全提示。还有,我发现官方提供的测试系统并不存在类似的漏洞,看来不是他们不知道,而是没有把免费用户的网络安危放在心上!
$ n+ a9 Q" D; e( I |
发表于 2012-11-18 14:24:49
收藏
支持
反对