站長在使用eWebEditor的時候是否發(fā)現(xiàn)，eWebEditor配置不當(dāng)會使其成為網(wǎng)站中的隱形問題呢？第一次發(fā)現(xiàn)這漏洞源于去年的一次入侵，在山窮水盡的時候發(fā)現(xiàn)了eWebEditor，于是很簡單就獲得了WebShell。后來又有好幾次利用eWebEditor進(jìn)行入侵的成功經(jīng)歷，這才想起應(yīng)該寫一篇文章和大家共享一下，同時也請廣大已經(jīng)使用了eWebEditor的站長趕緊檢查一下自己的站點。要不然，下一個被黑的就是你哦！ 

漏洞利用 
利用eWebEditor獲得WebShell的步驟大致如下： 
1．確定網(wǎng)站使用了eWebEditor。一般來說，我們只要注意發(fā)表帖子（文章）的頁面是否有類似做了記號的圖標(biāo)，就可以大致做出判斷了。 
2．查看源代碼，找到eWebEditor的路徑。點擊“查看源代碼”，看看源碼中是否存在類似“<iframe ID=’eWebEditor1’ src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550’ HEIGHT=’350’></iframe>”的語句。其實只有發(fā)現(xiàn)了存在這樣的語句了，才可以真正確定這個網(wǎng)站使用了eWebEditor。然后記下src=’***’中的“***”，這就是eWebEditor路徑。 
3．訪問eWebEditor的管理登錄頁面。eWebEditor的默認(rèn)管理頁面為admin_login.asp，和ewebeditor.asp在同一目錄下。以上面的路徑為例，我們訪問的地址為：http://www.***.net/edit/admin_login.asp，看看是否出現(xiàn)了登錄頁面。 
如果沒有看到這樣的頁面，說明管理員已經(jīng)刪除了管理登錄頁面，呵呵，還等什么，走人啊，換個地方試試。不過一般來說，我很少看到有哪個管理員刪了這個頁面，試試默認(rèn)的用戶名：admin，密碼：admin888。怎么樣？成功了吧（不是默認(rèn)賬戶請看后文）！ 
4．增加上傳文件類型。點擊“樣式管理”，隨便選擇列表中底下的某一個樣式的“設(shè)置，為什么要選擇列表中底下的樣式？因為eWebEditor自帶的樣式是不允許修改的，當(dāng)然你也可以拷貝一個新的樣式來設(shè)置。 

然后在上傳的文件類型中增加“asa”類型。 

5．上傳ASP木馬，獲得WebShell。接下來將ASP木馬的擴(kuò)展名修改為asa，就可以簡單上傳你的ASP木馬了。不要問我怎么上傳啊，看到 “預(yù)覽” 了嗎？點擊“預(yù)覽”，然后選擇“插入其它文件”的按鈕就可以了。 

漏洞原理 
漏洞的利用原理很簡單，請看Upload.asp文件： 
任何情況下都不允許上傳asp腳本文件 
sAllowExt = Replace(UCase(sAllowExt), "ASP", "") 
因為eWebEditor僅僅過濾了ASP文件。記得我第一次使用eWebEditor時就在納悶：既然作者已經(jīng)知道asp文件需要過濾，為什么不同時過濾asa、cer等文件呢？也許這就是對免費用戶不負(fù)責(zé)任的表現(xiàn)吧！ 

高級應(yīng)用 
eWebEditor的漏洞利用還有一些技巧： 
1．使用默認(rèn)用戶名和密碼無法登錄。 
請試試直接下載db目錄下的ewebeditor.mdb文件，用戶名和密碼在eWebEditor_System表中，經(jīng)過了md5加密，如果無法下載或者無法破解，那就當(dāng)自己的運氣不好了。 
2．加了asa類型后發(fā)現(xiàn)還是無法上傳。 
應(yīng)該是站長懂點代碼，自己修改了Upload.asp文件，但是沒有關(guān)系，按照常人的思維習(xí)慣，往往會直接在sAllowExt = Replace(UCase(sAllowExt), "ASP", "")一句上修改，我就看見過一個站長是這樣修改的： 
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "") 
猛一看什么都過濾了，但是我們只要在上傳類型中增加“aaspsp”，就可以直接上傳asp文件了。呵呵，是不是天才的想法？“aaspsp”過濾了“asp”字符后，反而變成了“asp”！順便告訴大家一個秘密，其實動網(wǎng)論壇7.0 sp2中也可以利用類似的方法繞過對擴(kuò)展名的過濾。 
3．上傳了asp文件后，卻發(fā)現(xiàn)該目錄沒有運行腳本的權(quán)限。 
呵呵，真是好笨啊，上傳類型可以改，上傳路徑不是也可以修改的嗎？仔細(xì)看看圖四。 
4．已經(jīng)使用了第2點中的方法，但是asp類型還是無法上傳。 
看來站長肯定是一個寫asp的高手，但是我們還有最后一招來對付他：看到圖三中的“遠(yuǎn)程類型”了嗎？eWebEditor能夠設(shè)定自動保存遠(yuǎn)程文件的類型，我們可以加入asp類型。但是如何才能讓遠(yuǎn)程訪問的asp文件能夠以源碼形式保存呢？方法是很多的，最簡單的方法是將IIS中的“應(yīng)用文件映射”中的“asp”刪除。 

后記 
根據(jù)自己的經(jīng)驗，幾乎只要能進(jìn)入eWebEditor的后臺管理，基本上都可以獲得WebShell。在Google上搜索“ewebeditor.asp?id=”能夠看到長達(dá)十多頁的相關(guān)信息，我大致抽查了其中幾個，發(fā)現(xiàn)成功率約為50％。還不錯吧？oblg 2.52版以前的版本也是使用eWebEditor，可以去搜索幾個來練練手。要命的是eWebEditor的官方網(wǎng)站和幫助文件中根本沒有這方面的安全提示。還有，我發(fā)現(xiàn)官方提供的測試系統(tǒng)并不存在類似的漏洞，看來不是他們不知道，而是沒有把免費用戶的網(wǎng)絡(luò)安危放在心上！ 

最新評論