注册 登录
临泉论坛 返回首页

晨曦旋风的个人空间 http://www.linquan.net/?1 [收藏] [复制] [分享] [RSS]

日志

[原创] eWebEditor上传漏洞详解

热度 1已有 1534 次阅读2010-11-13 11:04 |个人分类:服务器技术|

     今天下午,冷科长打来电话,说网站有被入侵过,还被挂了隐藏黑链。。

     晚上闲了,先登录服务器,这样比较方便。首先将被入侵网站,asp动态文件全部搜索列出。
接下来,只能一目十行看文件名,终于发现可疑shell文件。仔细一看,原来是ewebeditor编辑器
目录里,这下很明确了,是网站集成的ewebeditor编辑器上传漏洞。

    下面简要分析下 ewebeditor在线编辑器 这么多年存在的上传漏洞。

首先,打开网站的eWebEditor在线编辑器路径,一般为: 域名/admin/eWebEditor  ,然后在
后面加 /Admin_login.asp 或 Admin_style.asp
 


这就是eWebEditor默认的后台页面,如果页面没有被删除,就离上传shell不远了!~
默认登录名和密码:admin   admin888 或是 admin  admin

如果密码不对也无所谓,我们可以下载数据库读取,路径为 /db/ewebeditor.mdb
( o(︶︿︶)o  唉。。。默认mdb后缀,注定悲剧。。。)
 

输入用户和密码,登录界面后,如下图所示,点击“样式管理”:


随便选择列表中最下面某一个样式,点“设置“,
(为什么要选择列表中最下面的样式呢?这是因为eWebEditor自带的样式是不允许修改的,
当然你也可以新增一个样式来设置。然后在上传的文件类型中增加 asa 类型。


哈哈。下面就可以上传ASP木马,获得webshell了。我们先将ASP木马的扩展名修改为asa,
然后就可以上传了。上传方法: 点“预览”, 然后选择“插入其它文件”的按钮就可以了。




漏洞原理 :
其实漏洞的利用原理很简单,先看看看Upload.asp文件。默认是不允许上传asp脚本文件:

sAllowExt = Replace(UCase(sAllowExt), "ASP", "")

因为eWebEditor仅仅过滤了ASP文件, 而 asa 等其他文件后缀却没有过滤。




扩展延伸:

1.使用默认用户名和密码无法登录,刚刚上面我也提过的:

试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,
是经过了md5加密的,如果无法下载或者下载后加密太复杂而无法破解,那就是你运气不好咯。


2.加了asa类型后发现还是无法上传

应该是站长自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")一句上修改,比如:
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "") 。

猛一看貌似都过滤了,但我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。
呵呵,这是为什么呢?因为系统将“aaspsp” 过滤掉其中的asp后,不就照样剩下了“asp” 啦!


3.如果上传asp文件后,发现该目录没有运行ASP脚本的权限,那么可修改上传的保存路径^_^

原创文章,版权所有,原文出处http://www.licheng.net/article.asp?id=208

路过

鸡蛋

鲜花

握手

雷人

评论 (0 个评论)

facelist

您需要登录后才可以评论 登录 | 注册

返回顶部