1.常見的編輯器
常見的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。這里有份編輯器漏洞手冊:
http://www.790079.com/post/56253.html
2.Ewebeditor編輯器
Ewebeditor是基于瀏覽器的、所見即所得的在線HTML編輯器。她能夠在網頁上實現許多桌面編輯軟件(如:Word)所具有的強大可視編輯功能。WEB開發人員可以用她把傳統的多行文本輸入框<TEXTAREA>替換為可視化的富文本輸入框,使最終用戶可以可視化的發布HTML格式的網頁內容。eWebEditor!已基本成為網站內容管理發布的必備工具!
3.Ewebeditor利用核心
如何發現編輯器地址
Ewebeditor:
默認后臺:ewebeditor/admin_login.asp
默認數據庫:ewebeditor/db/ewebeditor.mdb
默認賬號密碼:admin admin/admin888
4.利用過程
通常入侵ewebeditor編輯器的步驟如下:
1、首先訪問默認管理頁看是否存在
默認管理頁地址2.80以前為 ewebeditor/admin_login.asp 以后版本為admin/login.asp(其他語言改后戳,這里以asp為例) 。
2、默認管理帳號密碼
默認管理頁存在!我們就用帳號密碼登陸!默認帳號密碼為: admin admin888 !常用的密碼還有admin admin999 admin1 admin000 之類的。
3、默認數據庫地址
如果密碼不是默認的。我們訪問的就不是默認數據庫!嘗試下載數據庫得到管理員密碼!管理員的帳號密碼,都在eWebEditor_System表段里,sys_UserName Sys_UserPass 都是md5加密的。得到了加密密碼。可以去www.cmd5.com www.xmd5.org 等網站進行查詢!暴力這活好久不干了!也可以丟國外一些可以跑密碼的網站去跑!
默認數據庫路徑為:ewebeditor/db/ewebeditor.mdb 常用數據庫路徑為:
ewebeditor/db/ewebeditor.asa
ewebeditor/db/ewebeditor.asp
ewebeditor/db/#ewebeditor.asa
ewebeditor/db/#ewebeditor.mdb
ewebeditor/db/!@#ewebeditor.asp
ewebeditor/db/ewebeditor1033.mdb 等等。
很多管理員常改.asp后綴,一般訪問.asp .asa 后綴的都是亂碼!可以用下載工具下載下來,然后更改后綴為.mdb來查看內容!
4、漏洞基本利用步驟,以asp為例!
1) 登陸后臺以后。選擇樣式管理,默認編輯器的默認樣式都不可以修改的。我們可以從任意樣式新建一個樣式,然后在圖片上傳添加可上傳后綴。.asa .cer .cdx 等!.asp 過濾過了。但是我們可以用.aaspsp后綴來添加,這樣上傳文件正好被ewebeditor 吃掉asp后綴,剩下.asp 。同樣,如果遇到一個管理員有安全意識的,從代碼里,把.asp .asa .cer .cdx 都完全禁止了,我們也可以用.asasaa 后綴來突破。添加完了后綴,可以在樣式管理,點擊預覽,然后上傳!
asa|cer|asp|aaspsp
Asa cer 它可以在iis6.0平臺解析為asp執行
Aaspsp:繞過過濾 過濾asp aaspsp=》asp
注意:低版本ewebeditor不支持ie7.0以下版本訪問(ietest軟件模擬ie6.0上傳)
以下以2.1.6這個版本為例來演示:
點擊樣式管理,然后新增樣式
在圖片類型中加入以下類型:asa|cer|asp|aaspsp
然后點擊提交。
然后在工具欄里新增工具
在按鈕設置里新增"插入或修改圖片"
然后點擊保存設置。然后再回去點擊預覽。
控件效果就出來了。然后直接上傳一句話木馬
點擊確定,上傳成功,之后,查看代碼,就能看到完整的地址
用菜刀一連就能就OK了。。。
2)目錄遍歷
點擊"上傳文件管理" 然后選擇樣式目錄。
在id=14后面加上&dir=../
http://192.168.87.129:8123/admin_uploadfile.asp?id=14&dir=../
發現沒有起作用,那就是2.1.6這個版本不存在這個漏洞。換成2.8.0。2.8.0存在這個漏洞
能遍歷目錄。
3)尋找前人痕跡再次入侵
有時候用戶名與密碼得等不進去,但是數據庫可以下載,這時候就可以看下是否有前人入侵過,如果有人入侵過的話,就可以利用下面的方法進入突破。
如何判斷有前人入侵過了??下載好數據庫之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加過什么。
使用下面的語句進入突破:
ewebeditor.asp?ID=xx&style=yy
其中的id=xx就是被修改過的那條記錄的id,而yy就是S_name字段的名字。
例如這里就修改成: ewebeditor.asp?ID=54&style=testckse 去訪問
圖片控件就出來了。。
5.FCKeditor編輯器
可以去這下載編輯器:http://download.csdn.net/detail/u011781521/9767326
1.查看編輯器版本
FCKeditor/_whatsnew.html
2.FCKeditor編輯器頁
FCKeditor/_samples/default.html
3.常用上傳地址
1. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp 2. FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ 3. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp 4. FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
由于這里用的是2.5的版本所以下面這條語句能用
http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
如果在輸入以上地址測試的過程中彈出以下的提示
那就是沒有開啟文件上傳功能,要把\editor\filemanager\connectors\asp\config.asp文件中的
Dim ConfigIsEnabled
ConfigIsEnabled = False
設置成功true。就行了,然后上傳6.asp;.jpg文件試試
發現他進行了過濾6.asp;.jpg改成了6_asp;.jpg,把點改成了下劃線。審查元素看下圖片的路徑
訪問這個路徑看下。
asp文件并沒有被解析成功。
這就是fckeditor過濾"."為"_"的一個機制,想要突破的話有以下兩種方式:
1.二次上傳
第一次上傳:qq.asp;.jpg ==》qq_asp;.jpg
第二次上傳:qq.asp;.jpg ==》qq_asp;.jpg (不滿足命名要求)
可能出現第二次命名為 qq.asp;.(1).jpg
還是被過濾了。。
2.新建上傳
手動新建一個文件夾
發現他還是過濾了。那我們只有突破建立文件夾了。
執行以下地址就能成功創建文件夾
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp
這又是為什么了????手動不能創建,而通過以上地址就能成功創建了,讓我們來對比下,手動創建和通過以上地址創建的一個區別。
漏洞地址:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp
手工新建:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp
原因:
CurrentFolder:當前文件夾 未進行過濾(這個文件夾下的沒有過濾)
NewFolderName:新建文件名 進行了過濾
這就是為什么通過上面地址能創建,而手動卻不能創建的一個原因,然后我們再上傳6.asp;.jpg到fendo.asp文件下看是否成功解析。
成功解析。。
3.DotNetTextBox編輯器漏洞利用
DotNetTextBox編輯器洞洞文件上傳漏洞
詳細說明:
漏洞證明:
1、用firebug將disabled="disabled',value="jgp,gif,png"修改為enabled="enabled",value="jpg,gif,png,aspx",然后點更新成功按鈕
2、彈出更新成功
3、刷新頁面,發現此時可允許上傳的圖片類型,成功新增aspx類型
4、找個aspx webshell上傳、提示文件上傳成功
5、上傳成功、成功躺在那里
6、webshell頁面
但是有 system_dntb/uploadimg.aspx 并能打開,這時候是不能上傳的,由于他是驗證cookie來得出上傳后的路徑,這樣我們可以用cookie欺騙工具。或者用burpsuite抓包修改cookie,修改為:
cookie:UserType=0; IsEdition=0; Info=1; uploadFolder=../system_dntb/Upload/
路徑可以修改,只是權限夠,上傳后改名為1.asp;.jpg利用iis解析漏洞。
