打開eWebEditorNet/upload.aspx，選擇一個cer文件。
再在IE地址欄里面輸入javascript:lbtnUpload.click();回車就得到shell了。查看源碼就可以看到上傳shell的地址。
注意：此文章已發(fā)表在2007年12月<<黑客手冊>>

轉(zhuǎn)載請著名出自 雕牌's blog 52cmd.cn

已經(jīng)3個月的大學生活了，一直忙，所以沒寫文章了，星期天正好整理資料，朋友發(fā)來一網(wǎng)站喊幫忙入侵一下，正好閑著，就開始了入侵之路。
一，初窺門徑
網(wǎng)站是
http://www.lnwlw.com，程序是.net的。按一般的思路就是，先看有沒注射，用啊D和明小子都檢測一次，都沒掃出注射漏洞。啊D是用site:www.lnwlw.com搜索的，然后看了一下比較隱藏的注射點，像搜索型的注射。http://www.lnwlw.com，程序是.net的。按一般的思路就是，先看有沒注射，用啊D和明小子都檢測一次，都沒掃出注射漏洞。啊D是用site:www.lnwlw.com搜索的，然后看了一下比較隱藏的注射點，像搜索型的注射。

依然不存在注射。注射失去效果，下面掃掃上傳，數(shù)據(jù)庫，配合google一樣也沒什么收獲，但是掃出后臺來了。
http://www.lnwlw.com/admin，也沒看出是什么程序。

社會工程也用了，還是沒收獲，aspx程序我也熟悉。所以又失敗了。入侵暫時陷入了困境。
二，空喜一場
下面看看旁注，用明小子掃一下，就2個玉米。還有一個是遼寧文學藝術音樂站，這種音樂站很簡陋，還整合了一個留言版，也沒發(fā)現(xiàn)注射，下面找找上傳漏洞，主頁有很多連接帶圖的，隨便點一個進去，直接看IE的狀態(tài)欄也可以，主要是看圖片的絕對地址，對著圖片點屬性也行。我習慣用迅雷下載所有連接。


馬上找出ewebeditor的登陸地址，默認的地址
http://www.lnyx.org/eWebEditor/admin_login.asp
用默認密碼admin居然通過，狂高興。進去后馬上拷貝模板，改上傳類型，cer但是結(jié)果讓我大吃一驚?？薨?quán)限不夠，設置的只讀權(quán)限。

三，勝利在望
真掃興啊，居然權(quán)限設置，那么還是把目標回到主站上面去吧。興許主站上也有ewebeditor。既然80不好入侵，先掃掃主機有沒什么明顯的漏洞，拿上x-scan就開掃。

就掃出3個開放端口。希望又破滅。繼續(xù)回到主站的web程序看，接下來只能看看是否存在別的程序，繼續(xù)在baidu里面site: www.lnwlw.com，找找別的程序。忽然一個亮點！look

eWebEditorNet程序。正好想起以前拿到過一個這種程序的0day，今天正好派上用場了。0day也不知道公布了沒，這里簡單說說原理。
原理：eWebEditorNet/upload.aspx文件
// 上傳表單已裝入完成
try {
parent.UploadLoaded();
}
catch(e){
}
只是簡單的對文件ID進行驗證，只要構(gòu)造javascript:lbtnUpload.click();就滿足條件。
下面開始利用，打開eWebEditorNet/upload.aspx，選擇一個cer文件。

再在IE地址欄里面輸入javascript:lbtnUpload.click();回車就得到shell了。查看源碼就可以看到上傳shell的地址。

下面用一句話連接一下。

四，總結(jié)
本次入侵實話說沒什么技術含量，只是給大家大家?guī)砹艘淮尾煌暾娜肭?，之所以不完整是因?389沒拿，呵呵，沒那必要了，安檢適合而止就行了。關于這個eweb的漏洞大家可以直接利用，效果很理想噢，很樂意和大家技術交流。

最新評論