現(xiàn)在越來越多的入侵是針對第三方的插件或者文件。那么筆者就帶領(lǐng)大家走進(jìn)ewebeditor在線文本編輯器的世界。了解該如何利用ewebeditor在線文本編輯器的疏漏來獲取網(wǎng)站的權(quán)限。
　　說起安全檢測的方法大家可能最熟悉的要屬注入，上傳或者利用網(wǎng)站的配置不當(dāng)或者管理員的疏忽等等，但是現(xiàn)在越來越多的入侵是針對第三方的插件或者文件。那么筆者就帶領(lǐng)大家走進(jìn)ewebeditor在線文本編輯器的世界。了解該如何利用ewebeditor在線文本編輯器的疏漏來獲取網(wǎng)站的權(quán)限。
　　正文：
　　這天筆者正在工作，忽然MSN彈出消息，原來是朋友花錢制作了一個網(wǎng)站，并且買了域名跟空間，想讓筆者測試一下網(wǎng)站的安全性與服務(wù)器的安全。盡量找出網(wǎng)站存在的一些安全隱患。在朋友的竭力邀請之下筆者開始了這次的入侵檢測之旅。
　　通過朋友對筆者的敘述筆者了解到。 朋友網(wǎng)站所用的空間就是他買程序的時候官方送他的免費(fèi)一年使用權(quán)， 那么如此說來服務(wù)器上肯定會部署很多網(wǎng)站。 而且很有可能是相似的程序，那么是不是入侵其中一個網(wǎng)站然后了解他的配置信息以后再用同樣的手法搞定服務(wù)器其他網(wǎng)站呢?按照這個思路筆者開始了入侵的旅途。
　　首先打開朋友發(fā)來的域名，地址為www.pockxxx.com。粗略看了下頁面為英文的，是一個賣手機(jī)與游戲機(jī)的網(wǎng)站。在IP138查詢得知域名所對應(yīng)的IP為210.51.22.X 為北京網(wǎng)通，看來是托管在IDC機(jī)房的服務(wù)器。使用superscan與IIS掃描器掃描服務(wù)器得到如下結(jié)果。
　　1、服務(wù)器操作系統(tǒng)為windows2003 所用IIS版本為6.0
　　2、服務(wù)器開放 80 1433與3389端口 三個端口
　　3、使用telnet 220.250.64.X 1433與3389 端口發(fā)現(xiàn)均不能連通，相必服務(wù)器是安裝了防火墻或者IDS之類軟件。 那么既然只有80端口對外開放那么就只能從WEB程序入手了。
　　首先打開網(wǎng)站，很漂亮的一個網(wǎng)站程序。大概看了下網(wǎng)站是使用ASP程序發(fā)開的。那么首先想到的就是sql injection 也就是SQL注射漏洞，隨便打開一個連接，地址為http://www.pcokXXX.com/product.asp?id=1294 在地址后面加一個單引號發(fā)現(xiàn)返回的錯誤信息為：
Microsoft OLE DB Provider for ODBC Drivers錯誤'80040e14'
　　[Microsft][ODBC Micorsoft Access Diver] 字符串語法錯誤 在查詢表達(dá)式'product。asp?id=1294'中。
　　/product。asp,行 32
　　從這個錯誤提示我們能看出下面幾點(diǎn)：
　　1、網(wǎng)站使用的是Access數(shù)據(jù)庫，通過ODBC連接數(shù)據(jù)庫，而不是通過JET引擎連接數(shù)據(jù)庫
　　2、程序沒有判斷客戶端提交的數(shù)據(jù)是否符合程序要求。
　　3、該SQL語句所查詢的表中有一名為productID的字段。
　　看來網(wǎng)站是基于ASP ACCESS數(shù)據(jù)庫的架構(gòu)了。 使用and 1=1 與and 1=2 發(fā)現(xiàn)返回的信息不一樣，說名存在SQL注射漏洞 不過網(wǎng)站數(shù)據(jù)庫使用的是ACCESS數(shù)據(jù)庫。那么只能猜解管理壓密碼登陸后臺來拿WEBSHELL了 如果是sql server數(shù)據(jù)庫的話有一定權(quán)限還可以使用BACK 來備份一個WEBSHELL。
　　在確定了存在注射漏洞后，筆者開始了艱辛的猜密碼的過程，在注射點(diǎn)后使用SQL語句
And (Select Count(*) from Admin)>=0
　　發(fā)現(xiàn)頁面返回正常說明存在admin表。那么既然知道了有admin表就繼續(xù)猜字段吧。不過一般來說這樣的程序用的字段無非這幾個 username password id userid user_password pwd name userpwd什么的 所以猜這樣的字段非常容易 語句一復(fù)制 挨個試就好了猜了半天 發(fā)現(xiàn)admin表里存在username password id三個字段。為了證明自己的猜解沒有錯誤。筆者又使用了啊D的SQL注射工具。 結(jié)果發(fā)現(xiàn)確實(shí)存在username password與ID這三個字段如圖1



很明顯username 跟password是存放管理員用戶名與密碼的。繼續(xù)猜
and (select top 1 len(username) from Admin)>0
　　這里筆者還是要先說下原理：如果top 1的username長度大于0，則條件成立;接著就是>1、>2、>3這樣測試下去，一直到條件不成立為止，比如>7成立，>8不成立，就是len(username)=8 經(jīng)過筆者的手工猜解與注射工具想結(jié)合終于成功找出管理員的后臺密碼為[username] : test [password] : katherine 居然還是明問的密碼。到這里可能有讀者會問?既然有了注射工具為什么還要去手工去猜解密碼呢? 這里筆者告訴大家，工具畢竟是死的。不能什么事都依靠工具。如果某一天你在做測試的使用并沒有工具的幫忙難道就會沒辦法么?
　　既然知道了管理員的用戶名與密碼那么就直接準(zhǔn)備登陸網(wǎng)站后臺了哦?不過另筆者郁悶的事使用注射工具并沒有發(fā)現(xiàn)網(wǎng)站的后臺。并且網(wǎng)站沒有admin目錄?？磥硎菫榱朔乐咕W(wǎng)站被黑客攻擊， 筆者的朋友已經(jīng)更換了網(wǎng)站的后臺路徑。 不過這個時候筆者平時所搜索的一些路徑就有了用武之地了。因?yàn)楣P者平時喜歡搜索一些網(wǎng)站的后臺地址等等的習(xí)慣。這樣一旦遇到?jīng)]有見過的路徑 比如asdf/logi.asp dd.asp等等。
　　所以筆者在這里建議各位讀者。適當(dāng)?shù)亩嗨阉饕恍┯杏玫男畔ⅰ?因?yàn)橐粋€合格的安全工程師不但要有過人的技術(shù)，還需要掌握足夠的資源 這樣做起事來才能事半功倍。 筆者將自己所掌握的路徑信息添加進(jìn)到注射工具里。然后再一次使用后臺地址掃描功能，成功的掃描出網(wǎng)站后臺地址為10f2c1dd/login.asp，如圖2


　　看到圖片可知后臺路徑設(shè)置的是多么隱藏。另外這里還有一個小插曲。就是第一次添加完信息掃描的時候并沒有掃描出后臺地址， 這里筆者通過自己對朋友的了解，掌握朋友以前的一些習(xí)慣自己生成一個小的類似密碼字典的東西 呵呵 這樣就成功的找到了后臺地址。 所以說有時候適時的利用自己掌握的信息與資源是在滲透或者是其他網(wǎng)絡(luò)安全工作時必不可少的。
　　好了，既然知道后臺地址了就使用我們猜解到的信息 [username] : test [password] : katherine
　　用戶名為test 密碼為katherine 來登陸后臺。
　　進(jìn)入后臺后筆者發(fā)現(xiàn)這個網(wǎng)站的后臺功能確實(shí)是很強(qiáng)大的。功能非常多并且發(fā)現(xiàn)支持的組件如下：
　　組件支持有關(guān)參數(shù)
　　數(shù)據(jù)庫(ADO)支持： √ (支持)
　　FSO文本讀寫： √ (支持)
　　Stream文件流： √ (支持)
　　CDONTS組件支持： √ (支持)
　　我們可能知道，只要是有FSO文本讀寫的組件我們就可以利用到網(wǎng)的站和后臺了，比如上傳我們的ASP木馬控制網(wǎng)站。 下圖為網(wǎng)站后臺功能。如圖3


　　可能讀者已經(jīng)發(fā)現(xiàn)，網(wǎng)站的后臺功能非常多， 但是大部分權(quán)限只能上傳一些jpg jif的圖片文件， 并不能直接上傳ASP文件。 而且網(wǎng)站的后臺沒有數(shù)據(jù)庫備份的功能。 一時之間還真是不知道該用什么辦法去取得WEBSHELL 。 因?yàn)槿绻貌坏絎EBSHELL的話只進(jìn)入到后臺并不能算檢測成功的。 沒辦法，只能另外想取得WEBSHELL的方法。 經(jīng)過半天的尋找，筆者發(fā)現(xiàn)網(wǎng)站的后臺使用的類似ewebeditor在線文本編輯器的東西，(后經(jīng)檢測確實(shí)為ewebeditor在線文本編輯器) 。為了確定筆者的判斷，筆者首先將自己的asp木馬后綴改名為。jpg的文件格式。 然后利用網(wǎng)站后臺編輯文章的地方進(jìn)行上傳。圖片上傳成功以后我們只需要右鍵點(diǎn)一個圖片的屬性就看到圖片上傳后的地址為/10f2c1dd/inc/edit/uploadfile/ 可能有的朋友還對ewebeditor 在線文本編輯器不是很了解， 這里我簡單敘述下 ewebeditor在線文本編輯器本身有一個控制后臺，可能有很多網(wǎng)站的管理員在使用程序的使用并不知道程序本身已經(jīng)帶有了ewebeditor功能， 所以很大程度上沒有對ewebeditor編輯器的重視。而ewebeditor在線文本編輯器的后臺地址為admin_login。asp 所以我直接在路徑改成/10f2c1dd/inc/edit/admin_login。asp 呵呵 成功的跳出來了ewebeditor編輯器的后臺管理地址，如圖4



使用ewebeditor管理后臺的默認(rèn)密碼admin admin與admin888均不能進(jìn)入。看來是管理員已經(jīng)改掉了ewebeditor登陸后臺的默認(rèn)密碼，看來管理員還是有一點(diǎn)防范意識的 。不過沒關(guān)系。管理員的密碼是保存在一個access 數(shù)據(jù)庫里的， 我們使用ewebeditor默認(rèn)的數(shù)據(jù)庫地址DB/Ewebeditor。mdb 看看能不能下載它的默認(rèn)數(shù)據(jù)庫。 如果能下到數(shù)據(jù)庫的話就有可能找到管理員的用戶密碼哦?馬上在IE地址欄輸入：
http://www.pockxxx.com/10f2c1dd/inc/edit/DB/Ewebeditor.mdb
　　成功的彈出了數(shù)據(jù)庫，說明管理壓雖然更改了ewebeditor的后臺密碼。但是并沒有更改ewebeditor的數(shù)據(jù)庫路徑，使得我們有機(jī)可乘了。馬上下載數(shù)據(jù)庫到本地 ，打開以后馬上找到eWebEditor_system 這里有管理員的帳號跟密碼。 然后發(fā)現(xiàn)管理員的用戶名為admin 密碼的MD5散列為b008cd8de9071d72 馬上拿到www。cmd5。com 去解開 發(fā)現(xiàn)密碼為6553552 呵呵很順的一個密碼。立刻登陸ewebeditor 然后我們在樣式管理那里隨便選擇一個樣式。 然后在圖片類型那里添加一個asa的類型，因?yàn)槲覀冎繿sa文件是跟asp文件一樣解吸的。 另外ewebeditor在樣式那里過濾了ASP文件 直接添加一個ASP文件是不可以的， 不過我們可以添加一個aaspsp的文件，因?yàn)檫@樣他過濾掉了一個ASP還是存在一個ASP，所以就可以直接傳我們的ASP木馬啦，如圖5


　　添加完我們需要上傳的類型以后點(diǎn)最下面的確定，然后回到樣式管理那里我們選擇預(yù)覽。 然后直接上傳我們的ASA類型的木馬，至此我們已經(jīng)拿到了網(wǎng)站的最高權(quán)限 WEBSHELL了。
　　拿到了WEBSHELL以后發(fā)現(xiàn)權(quán)限設(shè)置的非常嚴(yán)格，除了網(wǎng)站所在的目錄別的目錄一律禁止訪問。所有的危險組件都刪掉了，看來是典型的虛擬主機(jī)配置。不過剛在檢測前掃描的時候就發(fā)現(xiàn)服務(wù)器應(yīng)該裝了防火墻與IDS之類的東西， 提權(quán)應(yīng)該是很困難的。 但是我們要注意到?服務(wù)器的空間是提供給購買他們程序的人?那么是不是有可能eWebEditor的路徑都是一樣的呢? 雖然不能提權(quán) 但是我們多拿一些網(wǎng)站的權(quán)限不是很好? 說做就做，筆者使用了明小子的旁注查詢工具，發(fā)現(xiàn)服務(wù)器上一共捆綁了200多域名，看來網(wǎng)站還真是不少啊 。
　　在旁注工具里隨便找一個網(wǎng)站，在地址欄后邊添加inc/edit/admin_login.asp， 因?yàn)槲覀冎肋@個路徑是管理員隱藏好的 有的時候管理員 為了方便管理都會設(shè)置一樣的路徑 ，果然eWebEditor的后臺又一次跳了出來。
　　同樣是手法。下載數(shù)據(jù)庫，添加文件類型，上傳。不費(fèi)吹會之利又成功的拿到了服務(wù)器上另外網(wǎng)站的權(quán)限。 我記的以前我一個朋友在滲透內(nèi)網(wǎng)時得到了一個SQL數(shù)據(jù)庫的SA密碼，因?yàn)楣芾韱T都是一個人，所以整個內(nèi)網(wǎng)的服務(wù)器都被他所控制。沒想到筆者今天也碰到了類似的事情。結(jié)果筆者用了幾個小時的時間成功的拿到了服務(wù)器上 80%的網(wǎng)站權(quán)限。 因?yàn)橛械木W(wǎng)站程序不一樣 而且可能是個人站長自己管理。 eWebEditor雖然有但是MD5的密碼破解不出來。如圖6


　　筆者將拿到的網(wǎng)站權(quán)限送給了朋友，并且告訴了他的漏洞所在。不過此次的安全檢測偶然性比較大。運(yùn)氣成分很高吧。不過eWebEditor這個編輯器確實(shí)是害人不淺。很多網(wǎng)站站長都不知道自己用了他 更何況是去修改密碼呢。所以在這里也提醒網(wǎng)站的站長，使用程序的時候一定要小心，說不定程序里就自帶著“后門”呢。

最新評論