站長(zhǎng)在使用eWebEditor的時(shí)候是否發(fā)現(xiàn),eWebEditor配置不當(dāng)會(huì)使其成為網(wǎng)站中的隱形炸彈呢���?第一次發(fā)現(xiàn)這漏洞源于去年的一次入侵�,在山窮水盡的時(shí)候發(fā)現(xiàn)了eWebEditor���,于是很簡(jiǎn)單就獲得了WebShell����。后來(lái)又有好幾次利用eWebEditor進(jìn)行入侵的成功經(jīng)歷���,這才想起應(yīng)該寫一篇文章和大家共享一下����,同時(shí)也請(qǐng)廣大已經(jīng)使用了eWebEditor的站長(zhǎng)趕緊檢查一下自己的站點(diǎn)�。要不然,下一個(gè)被黑的就是你哦�����!
漏洞利用
利用eWebEditor獲得WebShell的步驟大致如下:
1.確定網(wǎng)站使用了eWebEditor��。一般來(lái)說(shuō)�,我們只要注意發(fā)表帖子(文章)的頁(yè)面是否有類似做了記號(hào)的圖標(biāo)�����,就可以大致做出判斷了。
2.查看源代碼�,找到eWebEditor的路徑。點(diǎn)擊“查看源代碼”�,看看源碼中是否存在類似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>”的語(yǔ)句。其實(shí)只有發(fā)現(xiàn)了存在這樣的語(yǔ)句了���,才可以真正確定這個(gè)網(wǎng)站使用了eWebEditor�����。然后記下src='***'中的“***”�����,這就是eWebEditor路徑�����。
3.訪問(wèn)eWebEditor的管理登錄頁(yè)面����。eWebEditor的默認(rèn)管理頁(yè)面為admin_login.asp,和ewebeditor.asp在同一目錄下���。以上面的路徑為例�,我們?cè)L問(wèn)的地址為:http://www.***.net/edit/admin_login.asp����,看看是否出現(xiàn)了登錄頁(yè)面。
如果沒(méi)有看到這樣的頁(yè)面���,說(shuō)明管理員已經(jīng)刪除了管理登錄頁(yè)面����,呵呵�,還等什么,走人啊�����,換個(gè)地方試試��。不過(guò)一般來(lái)說(shuō)���,我很少看到有哪個(gè)管理員刪了這個(gè)頁(yè)面�����,試試默認(rèn)的用戶名:admin���,密碼:admin888�。怎么樣��?成功了吧(不是默認(rèn)賬戶請(qǐng)看后文)�!
4.增加上傳文件類型����。點(diǎn)擊“樣式管理”,隨便選擇列表中底下的某一個(gè)樣式的“設(shè)置���,為什么要選擇列表中底下的樣式�?因?yàn)閑WebEditor自帶的樣式是不允許修改的����,當(dāng)然你也可以拷貝一個(gè)新的樣式來(lái)設(shè)置。
然后在上傳的文件類型中增加“asa”類型��。
5.上傳ASP木馬����,獲得WebShell���。接下來(lái)將ASP木馬的擴(kuò)展名修改為asa,就可以簡(jiǎn)單上傳你的ASP木馬了��。不要問(wèn)我怎么上傳啊���,看到 “預(yù)覽” 了嗎�����?點(diǎn)擊“預(yù)覽”����,然后選擇“插入其它文件”的按鈕就可以了���。
漏洞原理
漏洞的利用原理很簡(jiǎn)單����,請(qǐng)看Upload.asp文件:
任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
因?yàn)閑WebEditor僅僅過(guò)濾了ASP文件����。記得我第一次使用eWebEditor時(shí)就在納悶:既然作者已經(jīng)知道asp文件需要過(guò)濾���,為什么不同時(shí)過(guò)濾asa、cer等文件呢�?也許這就是對(duì)免費(fèi)用戶不負(fù)責(zé)任的表現(xiàn)吧!
高級(jí)應(yīng)用
eWebEditor的漏洞利用還有一些技巧:
1.使用默認(rèn)用戶名和密碼無(wú)法登錄����。
請(qǐng)?jiān)囋囍苯酉螺ddb目錄下的ewebeditor.mdb文件,用戶名和密碼在eWebEditor_System表中���,經(jīng)過(guò)了md5加密,如果無(wú)法下載或者無(wú)法破解��,那就當(dāng)自己的運(yùn)氣不好了��。
2.加了asa類型后發(fā)現(xiàn)還是無(wú)法上傳����。
應(yīng)該是站長(zhǎng)懂點(diǎn)代碼,自己修改了Upload.asp文件��,但是沒(méi)有關(guān)系�,按照常人的思維習(xí)慣,往往會(huì)直接在sAllowExt = Replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看見(jiàn)過(guò)一個(gè)站長(zhǎng)是這樣修改的:
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
猛一看什么都過(guò)濾了�,但是我們只要在上傳類型中增加“aaspsp”,就可以直接上傳asp文件了���。呵呵����,是不是天才的想法�?“aaspsp”過(guò)濾了“asp”字符后,反而變成了“asp”�!順便告訴大家一個(gè)秘密,其實(shí)動(dòng)網(wǎng)論壇7.0 sp2中也可以利用類似的方法繞過(guò)對(duì)擴(kuò)展名的過(guò)濾����。
3.上傳了asp文件后,卻發(fā)現(xiàn)該目錄沒(méi)有運(yùn)行腳本的權(quán)限���。
呵呵��,真是好笨啊����,上傳類型可以改�����,上傳路徑不是也可以修改的嗎?仔細(xì)看看圖四�����。
4.已經(jīng)使用了第2點(diǎn)中的方法��,但是asp類型還是無(wú)法上傳��。
看來(lái)站長(zhǎng)肯定是一個(gè)寫asp的高手�����,但是我們還有最后一招來(lái)對(duì)付他:看到圖三中的“遠(yuǎn)程類型”了嗎����?eWebEditor能夠設(shè)定自動(dòng)保存遠(yuǎn)程文件的類型���,我們可以加入asp類型��。但是如何才能讓遠(yuǎn)程訪問(wèn)的asp文件能夠以源碼形式保存呢����?方法是很多的,最簡(jiǎn)單的方法是將IIS中的“應(yīng)用文件映射”中的“asp”刪除�����。
后記
根據(jù)自己的經(jīng)驗(yàn)��,幾乎只要能進(jìn)入eWebEditor的后臺(tái)管理���,基本上都可以獲得WebShell����。在Google上搜索“ewebeditor.asp?id=”能夠看到長(zhǎng)達(dá)十多頁(yè)的相關(guān)信息��,我大致抽查了其中幾個(gè)��,發(fā)現(xiàn)成功率約為50%�����。還不錯(cuò)吧����?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索幾個(gè)來(lái)練練手���。要命的是eWebEditor的官方網(wǎng)站和幫助文件中根本沒(méi)有這方面的安全提示�。還有,我發(fā)現(xiàn)官方提供的測(cè)試系統(tǒng)并不存在類似的漏洞����,看來(lái)不是他們不知道,而是沒(méi)有把免費(fèi)用戶的網(wǎng)絡(luò)安危放在心上�����!
該文章在 2011/2/16 0:43:57 編輯過(guò)
400 186 1886
