摘要: 这个编辑器按脚本分主要有4个版本,ASP/ASPX/PHP/JSP 每个版本都有可以利用的漏洞。 判断网站是否使用了eWebEditor查看程序源代码,看看源码中是否存在类似“ewebeditor.asp?id=”语句,只要有此语句的存在,就能判断网站确实使用...
这个编辑器按脚本分主要有4个版本,ASP/ASPX/PHP/JSP 每个版本都有可以利用的漏洞。
判断网站是否使用了eWebEditor
查看程序源代码,看看源码中是否存在类似“ewebeditor.asp?id=”语句,只要有此语句的存在,就能判断网站确实使用了WEB编辑器。另外一种方法就是站上新闻或者其他板块上找图片、附件等的链接,是否为admin/eWebEditor/UploadFile/xxxx.jpg之类格式。
安全漏洞
管理员未对编辑器的数据库路径和名称进行修改,导致可以利用编辑器默认路径直接对网站数据库进行下载。
管理员未对编辑器的用户登录路径进行修改,导致黑客可以利用网站数据库所获得的用户名和密码直接登陆编辑器管理后台。
该WEB编辑器上传程序存在的安全漏洞。
ASP版
关键文件的名称和路径
这个版本其实个人感觉是影响最大,使用最多的一个了吧,早期很多asp站都用这个,当然现在也是大量的存在的……
几个关键文件的名称和路径:
Admin_Login.asp 登录页面
Admin_Default.asp 管理首页
Admin_Style.asp
Admin_UploadFile.asp
Upload.asp
Admin_ModiPwd.asp
eWebEditor.asp
db/ewebeditor.mdb 默认数据库路径
默认用户名密码
一般用这个的默认后台的URL都是默认的:
www.xxx.com/admin/ewebeditor/login_admin.asp
类似:
www.xxx.com/ewebeditor/login_admin.asp
www.xxx.com/admin/eweb/login_admin.asp
www.xxx.com/admin/editor/login_admin.asp
而且账户和密码也基本都是默认的:admin admin(admin888)
下载数据库
还有如果默认的账户和密码修改了,我们可以下载他的数据库,然后本地破解MD5了
默认数据库:…/db/ewebeditor.mdb 或者 …/db/ewebeditor.asp,一般下载数据库后打开察看就可以了。
文件上传
登录后台后,点击“样式管理”,随便选择列表中底下的某一个样式。注意:eWebEditor自带的样式是不允许修的,当然你也可以拷贝一个新的样式来设置。在上传的“其它类型”中增加“asa”类型:接下来把免杀的ASP木马的后缀名改成asa,返回管理首页,点击“预览”,然后选择“插入其它文件”的按钮进行ASP木马的上传:上传的ASP木马就在“UploadFile”文件夹里。
如果加了asa类型后发现还是无法上传。应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。
如果上述两种方法都失败了,则利用eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。(此方法未经测试,个人感觉利用率不高)
有的站数据库设置了只读属性,这样的站你是无法新加样式的,这样的站你可以看他数据库里的样式设置情况,一般很多时候都是让人给拿过的,而且明显的asa在那里。这样的话就可以直接构造一个调用这个样式的连接来上传shell。
比如发现数据库里有样式 123 他设置的是可以上传asa的话那么就可以这样调用:
http://www.xxx.com/eWeb/eWebEditor.asp?id=contentCN&style=123
这样就可以直接上传了,然后在点“编辑”就会找到shell的路径了。其实这个漏洞主要是upload.asp的过滤不严造成的,新版的应该都修复了,具体受影响的版本我也没统计过。
遍历路径
ewebeditor遍历路径漏洞(当数据库只读的时候)ewebeditor/admin_uploadfile.asp?id=14在id=14后面添加&dir=再加 &dir=/或&dir=http://www.xxxxx.com// 看到整个网站文件了, 不过此项在测试的时候发现,只有登录成功才能进行这项操作。
Cookie漏洞
漏洞文件:Admin_Private.asp.
漏洞语句:
<% If Session(“eWebEditor_User”) = “” Then
Response.Redirect “admin_login.asp”
Response.End
End If
只判断了session,没有判断cookies和路径的验证问题。
漏洞利用:
新建一个mrchen.asp内容如下:
<%Session(“eWebEditor_User”) = “11111111″%>
访问mrchen.asp,再访问后台任何文件,for example:Admin_Default.asp这个拿shell的方法就简单了。
ASPX版
Javascript文件上传
受影响文件:eWebEditorNet/upload.aspx
原理:代码
