首页渗透测试 正文

ewebeditor在线编辑器漏洞利用教程

2018-06-17 1556 0条评论

1:默认管理后台:
http://127.0.0.1/ewebeditor/admin_login.asp

后台如果能进入:

可点击样式管理:

standard 拷贝一份(直接修改改不了)

在拷贝的一份里加入图片类型( asa aaspsp ) 然后点预览

编辑器里点设计 然后直接上传asa大马.

上传后 在代码里可以看到马的位置!

(原理:因为在iis里 网站的属性里 应用程序配置一项 asa扩展名还是用asp.dll来解析的,asp也是 还有 cer cdx )

在cer cdx asa的被删掉 那么马儿就找不到 映射不过去.

可以在拷贝过后的样式 图片类型里加入 aaspsp 然后在上传 直接就可以上传asp文件

—————————————————————————–
2:下载默认数据库

127.0.0.1/ewebeditor/db/ewebeditor.mdb

然后分析数据库

webeditor_system(1) 就可以看到用户名和密码 如果破解不出来

可以在webeditor_style(14 样式表里

主要看允许上传文件的扩展名(s-fileext s_ingeext)

看到一个小黑客曾经搞过 多了asa aaspsp

可以用他来利用!(后台找不到的情况下也可以用此方法)

可以构造语句:

比如 ID=46 s-name =standard1

构造 代码: ewebeditor.asp?id=content&style=standard

ID和和样式名改过后

ewebeditor.asp?id=46&style=standard1
然后就是进入编辑器 上传asa 或者asp的 得到webshell

前面的1跟2说的是asp版的ewebeditor,其他如php,jsp跟asp的差不多,这里不多说.

针对这种方法可能出现的问题:

(1).使用默认用户名和密码无法登录。
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。
(2).加了asa类型后发现还是无法上传。
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
(3).上传了asp文件后,却发现该目录没有运行脚本的权限。
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?

(4).已经使用了第2点中的方法,但是asp类型还是无法上传。
看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。

漏洞原理
漏洞的利用原理很简单,请看Upload.asp文件:
任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!

—————————————————————————–

3.eWebEditor session欺骗漏洞

eWebEditor在线编辑器

漏洞文件:Admin_Private.asp

漏洞语句:<%

If Session(“eWebEditor_User”) = “” Then

Response.Redirect “admin_login.asp”

Response.End

End If

只判断了session,没有判断cookies和路径的验证问题。

漏洞利用:

新建一个h4x0r.asp内容如下:

<%Session(“eWebEditor_User”) = “11111111”%>

访问h4x0r.asp,再访问后台任何文件,for example:Admin_Default.asp

漏洞影响:虚拟主机的克星.


文章版权及转载声明

本文作者:符文浩 网址:http://blog.fuwenhao.com/post/94.html 发布于 2018-06-17
文章转载或复制请以超链接形式并注明出处。

发表评论

快捷回复:

评论列表 (暂无评论,1556人围观)参与讨论

还没有评论,来说两句吧...

取消
微信二维码
微信二维码
支付宝二维码