今天登录.zone-h.com.cn上看到有人一下子提交了5个站点,我感觉这几个站点出的问题应该是一样的,闲来无事就也上去看看,随便选了一个站点,登录,asp的站点。打开一个页面,后面为dispinfo.asp?id=585,习惯性的后面加上一个['],出现报错信息,放到 Pangolin和NBSI里面居然都注入失败。
然后再打开页面的源码,看到了熟悉的一段话
href=”http://www.xxxxx.cn/admin/eWebEditor/UploadFile/xxxx.doc”,
难不成是Ewebeditor的漏洞,打开http://www.xxxxx.cn/admin/eWebEditor/admin_login.asp,出现了血红的登录页面,默认密码成功登录。下面就简单多了,进入样式管理,随便选一个,修改上传文件格式,添加asa。把asp的网马后缀改为asa然后再预览上传。当然我到这里就结束了测试,主要是想看一下这几个站点的问题在哪里。
为了验证其他站是不是也是同样的问题,我再次测试了其他几个站点,发现其中两个已经把这个问题改了过来,剩下两个的问题依然存在。
漏洞原理(来源于互联网)
漏洞的利用原理很简单,请看Upload.asp文件:
任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
因为eWebEditor仅仅过滤了ASP文件。记得我第一次使用eWebEditor时就在纳闷:既然作者已经知道asp文件需要过滤,为什么不同时过滤asa、cer等文件呢?也许这就是对免费用户不负责任的表现吧!
高级应用
eWebEditor的漏洞利用还有一些技巧:
1.使用默认用户名和密码无法登录。
请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法破解,那就当自己的运气不好了。
2.加了asa类型后发现还是无法上传。
应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的:
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”)
猛 一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了 “asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。
3.上传了asp文件后,却发现该目录没有运行脚本的权限。
呵呵,真是好笨啊,上传类型可以改,上传路径不是也可以修改的吗?仔细看看图四。
4.已经使用了第2点中的方法,但是asp类型还是无法上传。
看 来站长肯定是一个写asp的高手,但是我们还有最后一招来对付他:看到图三中的“远程类型”了吗?eWebEditor能够设定自动保存远程文件的类型, 我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢?方法是很多的,最简单的方法是将IIS中的“应用文件映射”中的 “asp”删除。
我们反对搞破坏,但是我们提倡有问题的站点注意一下自身的安全方面的设置。
本文还暂无回复