2012漏洞利用总结.docVIP

ewebeditor漏洞利用总结 ewebeditor漏洞利用总结 先从最基本的记录起！通常入侵ewebeditor编辑器的步骤如下: 1、首先访问默认管理页看是否存在。 默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp (各种语言的大家自己改后缀，本文就以asp来进行说明，下面不再细说了！) 2、默认管理帐号密码！ 默认管理页存在！我们就用帐号密码登陆！默认帐号密码为: admin admin888 ！常用的密码还有admin admin999 admin1 admin000 之类的。 3、默认数据库地址。 如果密码不是默认的。我们就访问是不是默认数据库！尝试下载数据库得到管理员密码！管理员的帐号密码，都在eWebEditor_System表段里，sys_UserName Sys_UserPass 都是md5加密的。得到了加密密码。可以去 等网站进行查询！暴力这活好久不干了！也可以丢国外一些可以跑密码的网站去跑! 默认数据库路径为: ewebeditor/db/ewebeditor.mdb 常用数据库路径为:ewebeditor/db/ewebeditor.asa ewebeditor/db/ewebeditor.asp ewebeditor/db/#ewebeditor.asa ewebeditor/db/#ewebeditor.mdb ewebeditor/db/!@#ewebeditor.asp ewebeditor/db/ewebeditor1033.mdb 等 很多管理员常改.asp后缀，一般访问.asp .asa 后缀的 都是乱码！可以用下载工具下载下来，然后更改后缀为.mdb 来查看内容！ 4、说说漏洞基本利用步骤，还以asp为例！ 登陆后台以后。选择样式管理，默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式，然后在图片上传添加可上传后缀。.asa .cer .cdx 等！.asp 过滤过了。但是我们可以用.asaspp 后缀来添加，这样上传文件正好被ewebeditor 吃掉asp后缀，剩下.asp 呵呵！代码不详细说了。总之是个很可笑的过滤！同样，如果遇到一个管理员有安全意识的，从代码里，把.asp .asa .cer .cdx 都完全禁止了，我们也可以用.asasaa 后缀来突破。添加完了后缀，可以在样式管理，点击预览，然后上传！ 5、默认管理页不存在！ 在实际入侵过程中，有很多默认的管理页不存在的时候。我们可以直接访问样式管理页面 ewebeditor/admin_style.asp 然后用第4步的方式拿webshell。如果样式管理页也不存在的话，我们可以看数据库内的样式表（ewebeditor_style）里面有没有比我们先进去的朋友留下的样式。然后构造上传！具体url如下: eWebEditor/ewebeditor.asp?id=contentstyle=www 红色部分是我们发现被修改添加了asa后缀的样式名，大家自行修改！ 6、ewebeditor的几个版本存在注入！ ewebeditor 以前版本都存在注入 ewebeditor/ewebeditor.asp?id=article_contentstyle=Full_v200 ! 添加验证字符串，和管理员字段可以跑出管理员的md5加密密码！ ewebeditor v2.1.6存在注入，可以用union select 添加上传后缀进行上传！先贴漏洞利用方式！ -------------------------------------------------------------------------------------------------------------- H3ewebeditor asp版 2.1.6 上传漏洞利用程序----/H3brbr form action=/ewebeditor/upload.asp?action=savetype=IMAGEstyle=standardunion select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b|cer,S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFr