ewebedit漏洞总结及解决方法.docx

ewebedit漏洞总结及解决方法 　　ewebeditor漏洞利用总结　　ewebeditor漏洞利用总结　　先从最基本的记录起！通常入侵ewebeditor编辑器的步骤如下:　　1、首先访问默认管理页看是否存在。　　默认管理页地址以前为ewebeditor/admin_以后版本为admin/(各种语言的大家自己改后缀，本文就以asp来进行说明，下面不再细说了！)　　2、默认管理帐号密码！　　默认管理页存在！我们就用帐号密码登陆！默认帐号密码为:adminadmin888！常用的密码还有adminadmin999admin1admin000之类的。　　3、默认数据库地址。　　如果密码不是默认的。我们就访问是不是默认数据库！尝试下载数据库得到管理员密码！管理员的帐号密码，都在eWebEditor_System表段里，sys_UserNameSys_UserPass都是md5加密的。得到了加密密码。可以去等网站进行查询！暴力这活好久不干了！也可以丢国外一些可以跑密码的网站去跑!　　默认数据库路径为:ewebeditor/db/常用数据库路径为:ewebeditor/db/ewebeditor/db/　　ewebeditor/db/#ewebeditor/db/#　　ewebeditor/db/!@#ewebeditor/db/等　　很多管理员常改.asp后缀，一般访问.asp.asa后缀的都是乱码！可以用下载工具下载下来，然后更改后缀为.mdb来查看内容！　　4、说说漏洞基本利用步骤，还以asp为例！　　登陆后台以后。选择样式管理，默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式，然后在图片上传添加可上传后缀。.asa.cer.cdx等！.asp过滤过了。但是我们可以用.asaspp后缀来添加，这样上传文件正好被ewebeditor吃掉asp后缀，剩下.asp呵呵！代码不详细说了。总之是个很可笑的过滤！同样，如果遇到一个管理员有安全意识的，从代码里，把.asp.asa.cer.cdx都完全禁止了，我们也可以用.asasaa后缀来突破。添加完了后缀，可以在样式管理，点击预览，然后上传！　　5、默认管理页不存在！　　在实际入侵过程中，有很多默认的管理页不存在的时候。我们可以直接访问样式管理页面ewebeditor/admin_然后用第4步的方式拿webshell。如果样式管理页也不存在的话，我们可以看数据库内的样式表里面有没有比我们先进去的朋友留下的样式。然后构造上传！具体url如下:eWebEditor/?id=contentstyle=www红色部分是我们发现被修改添加了asa后缀的样式名，大家自行修改！　　6、ewebeditor的几个版本存在注入！　　ewebeditor以前版本都存在注入ewebeditor/?id=article_contentstyle=Full_v200!　　添加验证字符串，和管理员字段可以跑出管理员的md5加密密码！　　ewebeditor存在注入，可以用unionselect添加上传后缀进行上传！先贴漏洞利用方式！--------------------------------------------------------------------------------------------------------------　　ewebeditorasp版上传漏洞利用程序----　　filesize=100　　　　　　--------------------------------------------------------------------------------------------------------------　　以上代码令存为html！修改红色部分的路径，然后自动上传.cer文件！漏洞原因是因为sStyleName变量直接从style中读取，并没有过滤，所以可以包含任意字符！用select在ewebeditor_style表中查找s_name为sStyleName的记录，找不到就提示出错！在sStyleName变量中用union来构造记录，我们可以在sAllowExt中加入|cer、|asa等！　　另外还有一些版本的ewebeditor的文件存在注入漏洞！贴几个注入用的url！信息错误则返回脚本出错的提示，在浏览器左下角！具体利用如下:　　ewebeditor/?type=FILEstyle=standard_coolblue1and%20(select%20top%201%20asc(mid(sys_userpass,15,1))%20from%20ewebeditor_syste