現(xiàn)在越來(lái)越多的入侵是針對(duì)第三方的插件或者文件。那么筆者就帶領(lǐng)大家走進(jìn)ewebeditor在線文本編輯器的世界。了解該如何利用ewebeditor在線文本編輯器的疏漏來(lái)獲取網(wǎng)站的權(quán)限。
　　說(shuō)起安全檢測(cè)的方法大家可能最熟悉的要屬注入，上傳或者利用網(wǎng)站的配置不當(dāng)或者管理員的疏忽等等，但是現(xiàn)在越來(lái)越多的入侵是針對(duì)第三方的插件或者文件。那么筆者就帶領(lǐng)大家走進(jìn)ewebeditor在線文本編輯器的世界。了解該如何利用ewebeditor在線文本編輯器的疏漏來(lái)獲取網(wǎng)站的權(quán)限。
　　正文：
　　這天筆者正在工作，忽然MSN彈出消息，原來(lái)是朋友花錢(qián)制作了一個(gè)網(wǎng)站，并且買(mǎi)了域名跟空間，想讓筆者測(cè)試一下網(wǎng)站的安全性與服務(wù)器的安全。盡量找出網(wǎng)站存在的一些安全隱患。在朋友的竭力邀請(qǐng)之下筆者開(kāi)始了這次的入侵檢測(cè)之旅。
　　通過(guò)朋友對(duì)筆者的敘述筆者了解到。 朋友網(wǎng)站所用的空間就是他買(mǎi)程序的時(shí)候官方送他的免費(fèi)一年使用權(quán)， 那么如此說(shuō)來(lái)服務(wù)器上肯定會(huì)部署很多網(wǎng)站。 而且很有可能是相似的程序，那么是不是入侵其中一個(gè)網(wǎng)站然后了解他的配置信息以后再用同樣的手法搞定服務(wù)器其他網(wǎng)站呢?按照這個(gè)思路筆者開(kāi)始了入侵的旅途。
　　首先打開(kāi)朋友發(fā)來(lái)的域名，地址為www.pockxxx.com。粗略看了下頁(yè)面為英文的，是一個(gè)賣(mài)手機(jī)與游戲機(jī)的網(wǎng)站。在IP138查詢得知域名所對(duì)應(yīng)的IP為210.51.22.X 為北京網(wǎng)通，看來(lái)是托管在IDC機(jī)房的服務(wù)器。使用superscan與IIS掃描器掃描服務(wù)器得到如下結(jié)果。
　　1、服務(wù)器操作系統(tǒng)為windows2003 所用IIS版本為6.0
　　2、服務(wù)器開(kāi)放 80 1433與3389端口 三個(gè)端口
　　3、使用telnet 220.250.64.X 1433與3389 端口發(fā)現(xiàn)均不能連通，相必服務(wù)器是安裝了防火墻或者IDS之類軟件。 那么既然只有80端口對(duì)外開(kāi)放那么就只能從WEB程序入手了。
　　首先打開(kāi)網(wǎng)站，很漂亮的一個(gè)網(wǎng)站程序。大概看了下網(wǎng)站是使用ASP程序發(fā)開(kāi)的。那么首先想到的就是sql injection 也就是SQL注射漏洞，隨便打開(kāi)一個(gè)連接，地址為http://www.pcokXXX.com/product.asp?id=1294 在地址后面加一個(gè)單引號(hào)發(fā)現(xiàn)返回的錯(cuò)誤信息為：
Microsoft OLE DB Provider for ODBC Drivers錯(cuò)誤'80040e14'
　　[Microsft][ODBC Micorsoft Access Diver] 字符串語(yǔ)法錯(cuò)誤 在查詢表達(dá)式'product。asp?id=1294'中。
　　/product。asp,行 32
　　從這個(gè)錯(cuò)誤提示我們能看出下面幾點(diǎn)：
　　1、網(wǎng)站使用的是Access數(shù)據(jù)庫(kù)，通過(guò)ODBC連接數(shù)據(jù)庫(kù)，而不是通過(guò)JET引擎連接數(shù)據(jù)庫(kù)
　　2、程序沒(méi)有判斷客戶端提交的數(shù)據(jù)是否符合程序要求。
　　3、該SQL語(yǔ)句所查詢的表中有一名為productID的字段。
　　看來(lái)網(wǎng)站是基于ASP ACCESS數(shù)據(jù)庫(kù)的架構(gòu)了。 使用and 1=1 與and 1=2 發(fā)現(xiàn)返回的信息不一樣，說(shuō)名存在SQL注射漏洞 不過(guò)網(wǎng)站數(shù)據(jù)庫(kù)使用的是ACCESS數(shù)據(jù)庫(kù)。那么只能猜解管理壓密碼登陸后臺(tái)來(lái)拿WEBSHELL了 如果是sql server數(shù)據(jù)庫(kù)的話有一定權(quán)限還可以使用BACK 來(lái)備份一個(gè)WEBSHELL。
　　在確定了存在注射漏洞后，筆者開(kāi)始了艱辛的猜密碼的過(guò)程，在注射點(diǎn)后使用SQL語(yǔ)句
And (Select Count(*) from Admin)>=0
　　發(fā)現(xiàn)頁(yè)面返回正常說(shuō)明存在admin表。那么既然知道了有admin表就繼續(xù)猜字段吧。不過(guò)一般來(lái)說(shuō)這樣的程序用的字段無(wú)非這幾個(gè) username password id userid user_password pwd name userpwd什么的 所以猜這樣的字段非常容易 語(yǔ)句一復(fù)制 挨個(gè)試就好了猜了半天 發(fā)現(xiàn)admin表里存在username password id三個(gè)字段。為了證明自己的猜解沒(méi)有錯(cuò)誤。筆者又使用了啊D的SQL注射工具。 結(jié)果發(fā)現(xiàn)確實(shí)存在username password與ID這三個(gè)字段如圖1



很明顯username 跟password是存放管理員用戶名與密碼的。繼續(xù)猜
and (select top 1 len(username) from Admin)>0
　　這里筆者還是要先說(shuō)下原理：如果top 1的username長(zhǎng)度大于0，則條件成立;接著就是>1、>2、>3這樣測(cè)試下去，一直到條件不成立為止，比如>7成立，>8不成立，就是len(username)=8 經(jīng)過(guò)筆者的手工猜解與注射工具想結(jié)合終于成功找出管理員的后臺(tái)密碼為[username] : test [password] : katherine 居然還是明問(wèn)的密碼。到這里可能有讀者會(huì)問(wèn)?既然有了注射工具為什么還要去手工去猜解密碼呢? 這里筆者告訴大家，工具畢竟是死的。不能什么事都依靠工具。如果某一天你在做測(cè)試的使用并沒(méi)有工具的幫忙難道就會(huì)沒(méi)辦法么?
　　既然知道了管理員的用戶名與密碼那么就直接準(zhǔn)備登陸網(wǎng)站后臺(tái)了哦?不過(guò)另筆者郁悶的事使用注射工具并沒(méi)有發(fā)現(xiàn)網(wǎng)站的后臺(tái)。并且網(wǎng)站沒(méi)有admin目錄?？磥?lái)是為了防止網(wǎng)站被黑客攻擊， 筆者的朋友已經(jīng)更換了網(wǎng)站的后臺(tái)路徑。 不過(guò)這個(gè)時(shí)候筆者平時(shí)所搜索的一些路徑就有了用武之地了。因?yàn)楣P者平時(shí)喜歡搜索一些網(wǎng)站的后臺(tái)地址等等的習(xí)慣。這樣一旦遇到?jīng)]有見(jiàn)過(guò)的路徑 比如asdf/logi.asp dd.asp等等。
　　所以筆者在這里建議各位讀者。適當(dāng)?shù)亩嗨阉饕恍┯杏玫男畔ⅰ?因?yàn)橐粋€(gè)合格的安全工程師不但要有過(guò)人的技術(shù)，還需要掌握足夠的資源 這樣做起事來(lái)才能事半功倍。 筆者將自己所掌握的路徑信息添加進(jìn)到注射工具里。然后再一次使用后臺(tái)地址掃描功能，成功的掃描出網(wǎng)站后臺(tái)地址為10f2c1dd/login.asp，如圖2


　　看到圖片可知后臺(tái)路徑設(shè)置的是多么隱藏。另外這里還有一個(gè)小插曲。就是第一次添加完信息掃描的時(shí)候并沒(méi)有掃描出后臺(tái)地址， 這里筆者通過(guò)自己對(duì)朋友的了解，掌握朋友以前的一些習(xí)慣自己生成一個(gè)小的類似密碼字典的東西 呵呵 這樣就成功的找到了后臺(tái)地址。 所以說(shuō)有時(shí)候適時(shí)的利用自己掌握的信息與資源是在滲透或者是其他網(wǎng)絡(luò)安全工作時(shí)必不可少的。
　　好了，既然知道后臺(tái)地址了就使用我們猜解到的信息 [username] : test [password] : katherine
　　用戶名為test 密碼為katherine 來(lái)登陸后臺(tái)。
　　進(jìn)入后臺(tái)后筆者發(fā)現(xiàn)這個(gè)網(wǎng)站的后臺(tái)功能確實(shí)是很強(qiáng)大的。功能非常多并且發(fā)現(xiàn)支持的組件如下：
　　組件支持有關(guān)參數(shù)
　　數(shù)據(jù)庫(kù)(ADO)支持： √ (支持)
　　FSO文本讀寫(xiě)： √ (支持)
　　Stream文件流： √ (支持)
　　CDONTS組件支持： √ (支持)
　　我們可能知道，只要是有FSO文本讀寫(xiě)的組件我們就可以利用到網(wǎng)的站和后臺(tái)了，比如上傳我們的ASP木馬控制網(wǎng)站。 下圖為網(wǎng)站后臺(tái)功能。如圖3


　　可能讀者已經(jīng)發(fā)現(xiàn)，網(wǎng)站的后臺(tái)功能非常多， 但是大部分權(quán)限只能上傳一些jpg jif的圖片文件， 并不能直接上傳ASP文件。 而且網(wǎng)站的后臺(tái)沒(méi)有數(shù)據(jù)庫(kù)備份的功能。 一時(shí)之間還真是不知道該用什么辦法去取得WEBSHELL 。 因?yàn)槿绻貌坏絎EBSHELL的話只進(jìn)入到后臺(tái)并不能算檢測(cè)成功的。 沒(méi)辦法，只能另外想取得WEBSHELL的方法。 經(jīng)過(guò)半天的尋找，筆者發(fā)現(xiàn)網(wǎng)站的后臺(tái)使用的類似ewebeditor在線文本編輯器的東西，(后經(jīng)檢測(cè)確實(shí)為ewebeditor在線文本編輯器) 。為了確定筆者的判斷，筆者首先將自己的asp木馬后綴改名為。jpg的文件格式。 然后利用網(wǎng)站后臺(tái)編輯文章的地方進(jìn)行上傳。圖片上傳成功以后我們只需要右鍵點(diǎn)一個(gè)圖片的屬性就看到圖片上傳后的地址為/10f2c1dd/inc/edit/uploadfile/ 可能有的朋友還對(duì)ewebeditor 在線文本編輯器不是很了解， 這里我簡(jiǎn)單敘述下 ewebeditor在線文本編輯器本身有一個(gè)控制后臺(tái)，可能有很多網(wǎng)站的管理員在使用程序的使用并不知道程序本身已經(jīng)帶有了ewebeditor功能， 所以很大程度上沒(méi)有對(duì)ewebeditor編輯器的重視。而ewebeditor在線文本編輯器的后臺(tái)地址為admin_login。asp 所以我直接在路徑改成/10f2c1dd/inc/edit/admin_login。asp 呵呵 成功的跳出來(lái)了ewebeditor編輯器的后臺(tái)管理地址，如圖4



使用ewebeditor管理后臺(tái)的默認(rèn)密碼admin admin與admin888均不能進(jìn)入?？磥?lái)是管理員已經(jīng)改掉了ewebeditor登陸后臺(tái)的默認(rèn)密碼，看來(lái)管理員還是有一點(diǎn)防范意識(shí)的 。不過(guò)沒(méi)關(guān)系。管理員的密碼是保存在一個(gè)access 數(shù)據(jù)庫(kù)里的， 我們使用ewebeditor默認(rèn)的數(shù)據(jù)庫(kù)地址DB/Ewebeditor。mdb 看看能不能下載它的默認(rèn)數(shù)據(jù)庫(kù)。 如果能下到數(shù)據(jù)庫(kù)的話就有可能找到管理員的用戶密碼哦?馬上在IE地址欄輸入：
http://www.pockxxx.com/10f2c1dd/inc/edit/DB/Ewebeditor.mdb
　　成功的彈出了數(shù)據(jù)庫(kù)，說(shuō)明管理壓雖然更改了ewebeditor的后臺(tái)密碼。但是并沒(méi)有更改ewebeditor的數(shù)據(jù)庫(kù)路徑，使得我們有機(jī)可乘了。馬上下載數(shù)據(jù)庫(kù)到本地 ，打開(kāi)以后馬上找到eWebEditor_system 這里有管理員的帳號(hào)跟密碼。 然后發(fā)現(xiàn)管理員的用戶名為admin 密碼的MD5散列為b008cd8de9071d72 馬上拿到www。cmd5。com 去解開(kāi) 發(fā)現(xiàn)密碼為6553552 呵呵很順的一個(gè)密碼。立刻登陸ewebeditor 然后我們?cè)跇邮焦芾砟抢镫S便選擇一個(gè)樣式。 然后在圖片類型那里添加一個(gè)asa的類型，因?yàn)槲覀冎繿sa文件是跟asp文件一樣解吸的。 另外ewebeditor在樣式那里過(guò)濾了ASP文件 直接添加一個(gè)ASP文件是不可以的， 不過(guò)我們可以添加一個(gè)aaspsp的文件，因?yàn)檫@樣他過(guò)濾掉了一個(gè)ASP還是存在一個(gè)ASP，所以就可以直接傳我們的ASP木馬啦，如圖5


　　添加完我們需要上傳的類型以后點(diǎn)最下面的確定，然后回到樣式管理那里我們選擇預(yù)覽。 然后直接上傳我們的ASA類型的木馬，至此我們已經(jīng)拿到了網(wǎng)站的最高權(quán)限 WEBSHELL了。
　　拿到了WEBSHELL以后發(fā)現(xiàn)權(quán)限設(shè)置的非常嚴(yán)格，除了網(wǎng)站所在的目錄別的目錄一律禁止訪問(wèn)。所有的危險(xiǎn)組件都刪掉了，看來(lái)是典型的虛擬主機(jī)配置。不過(guò)剛在檢測(cè)前掃描的時(shí)候就發(fā)現(xiàn)服務(wù)器應(yīng)該裝了防火墻與IDS之類的東西， 提權(quán)應(yīng)該是很困難的。 但是我們要注意到?服務(wù)器的空間是提供給購(gòu)買(mǎi)他們程序的人?那么是不是有可能eWebEditor的路徑都是一樣的呢? 雖然不能提權(quán) 但是我們多拿一些網(wǎng)站的權(quán)限不是很好? 說(shuō)做就做，筆者使用了明小子的旁注查詢工具，發(fā)現(xiàn)服務(wù)器上一共捆綁了200多域名，看來(lái)網(wǎng)站還真是不少啊 。
　　在旁注工具里隨便找一個(gè)網(wǎng)站，在地址欄后邊添加inc/edit/admin_login.asp， 因?yàn)槲覀冎肋@個(gè)路徑是管理員隱藏好的 有的時(shí)候管理員 為了方便管理都會(huì)設(shè)置一樣的路徑 ，果然eWebEditor的后臺(tái)又一次跳了出來(lái)。
　　同樣是手法。下載數(shù)據(jù)庫(kù)，添加文件類型，上傳。不費(fèi)吹會(huì)之利又成功的拿到了服務(wù)器上另外網(wǎng)站的權(quán)限。 我記的以前我一個(gè)朋友在滲透內(nèi)網(wǎng)時(shí)得到了一個(gè)SQL數(shù)據(jù)庫(kù)的SA密碼，因?yàn)楣芾韱T都是一個(gè)人，所以整個(gè)內(nèi)網(wǎng)的服務(wù)器都被他所控制。沒(méi)想到筆者今天也碰到了類似的事情。結(jié)果筆者用了幾個(gè)小時(shí)的時(shí)間成功的拿到了服務(wù)器上 80%的網(wǎng)站權(quán)限。 因?yàn)橛械木W(wǎng)站程序不一樣 而且可能是個(gè)人站長(zhǎng)自己管理。 eWebEditor雖然有但是MD5的密碼破解不出來(lái)。如圖6


　　筆者將拿到的網(wǎng)站權(quán)限送給了朋友，并且告訴了他的漏洞所在。不過(guò)此次的安全檢測(cè)偶然性比較大。運(yùn)氣成分很高吧。不過(guò)eWebEditor這個(gè)編輯器確實(shí)是害人不淺。很多網(wǎng)站站長(zhǎng)都不知道自己用了他 更何況是去修改密碼呢。所以在這里也提醒網(wǎng)站的站長(zhǎng)，使用程序的時(shí)候一定要小心，說(shuō)不定程序里就自帶著“后門(mén)”呢。

最新評(píng)論