常用的编辑器
常见的编辑器有Ewebeditor fckeditor CKeditor kindeditor
1.Ewebeditor
测试环境用的是eWebEditor_v216_Free版本 可以自己去网上下载对应的版本搭建本地环境
利用核心
默认后台:www.xxxx.com/ewebeditor/admin_login.asp
默认数据库:ewebeditor/db/ewebeditor.mdb
默认账号密码:admin admin/admin888
利用过程
常用入侵Ewebeditor 编辑器的步骤如下
1.首先访问默认管理页面看是否存在
默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp(其他语言改后戳,这里以asp为例) 。
2.默认管理员账户密码
如果默认管理页面存在 就用默认账户密码登录 默认账户密码为 admin admin888 常用的密码还有admin admin999 admin1 admin000 之类的。 可以爆破一下
3.默认数据库地址
如果密码不是默认的 就去尝试下载默认的数据库
默认数据库路径为:ewebeditor/db/ewebeditor.mdb 常用数据库路径为:
ewebeditor/db/ewebeditor.asa
ewebeditor/db/ewebeditor.asp
ewebeditor/db/#ewebeditor.asa
ewebeditor/db/#ewebeditor.mdb
ewebeditor/db/ewebeditor.mdb
ewebeditor/db/!@#ewebeditor.asp
ewebeditor/db/ewebeditor1033.mdb 等等。
很多管理员经常把数据库的后缀改成 asp asa 可以直接用迅雷下载下来
如果默认账户密码正确 登录到后台以后
在图片类型这里加入asa|cer|asp|aaspsp这些后缀名
如果asp被过滤掉 可以用aaspsp后缀来绕过 如果遇到一个管理员有安全意识的,从代码里,把.asp .asa .cer .cdx 都完全禁止了,我们也可以用.asasaa 后缀来突破。
asa cer后缀在IIS6.0平台解析为asp执行
Aaspsp:绕过过滤过滤asp aaspsp=》asp
找到刚刚添加的样式 点击工具栏 开始添加按钮
先新增一个工具栏 再点按钮设置
找到插入或修改图片 点右箭头 添加到已选按钮框内 点击保存设置 换一个低版本的IE浏览器 访问编辑器就可以上传图片了 低版本的编辑器是不支持高版本的浏览器的
再返回样式管理 找到刚才设置的那个样式 点击预览 这里就要使用低版本的IE 否则是加载不出来按钮的
上图就是高版本浏览器访问低版本编辑器 就是这样 啥也点不了
上图就是低版本的IE 可以插入内容 点击上传图片按钮等等
多版本IE集成浏览器 IETester
这边已经设置好可以上传cerasp等后缀文件
直接上传一个asp的马就可以
上传好之后点代码 这块千万不要点查看源文件 查看源文件啥也查看不到
直接访问上传的webshell地址
2.目录遍历
第一步点上传文件管理 随便选择一个样式目录
在id=xx后面加上&dir=../
直接可以遍历目录 下载文件
由于目录遍历漏洞存在2.8.0 我这个版本较低 没有 就不演示了
3.寻找前人入侵痕迹
如何判断有前人入侵过了??下载好数据库之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。
使用下面的语句进入突破:
ewebeditor.asp?ID=xx&style=yy
其中的id=xx就是被修改过的那条记录的id,而yy就是S_name字段的名字。
例如这里就修改成: ewebeditor.asp?ID=54&style=testckse 去访问图片控件就出来了。。
4.文件上传漏洞
ewebeditor asp版 2.1.6 上传漏洞利用程序----
保存上面代码到HTML 直接上传cer格式木马
正常是这个页面 但是没有上传按钮 自己写一个上传按钮
上传成功之后会跳到上面黑黑的页面
右键查看源代码在最下面会看到上传上去的文件名称
完结....................
FCKeditor编辑器漏洞利用
先访问这个页面查看编辑器版本/_whatsnew.html
访问编辑器页面http://192.168.60.63:825/_samples/default.html
常用上传地址
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
由于这里用的是2.5的版本所以下面这条语句能用
http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
先试试解析漏洞 上传一个a.asp;.png试一下
前面的.被过滤掉了
再试试二次上传
第一次上传:qq.asp;.jpg ==》qq_asp;.jpg
第二次上传:qq.asp;.jpg ==》qq_asp;.jpg (不满足命名要求)
可能出现第二次命名为qq.asp;.(1).jpg
还是不行
创建文件夹也没用
执行以下地址就能成功创建文件夹
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=xx.asp
这又是为什么了????手动不能创建,而通过以上地址就能成功创建了,让我们来对比下,手动创建和通过以上地址创建的一个区别。
漏洞地址:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp
手工新建:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp
原因:
CurrentFolder:当前文件夹 未进行过滤(这个文件夹下的没有过滤)
NewFolderName:新建文件名 进行了过滤
这就是为什么通过上面地址能创建,而手动却不能创建的一个原因,然后我们再上传6.asp;.jpg到fendo.asp文件下看是否成功解析。
随便上传个一句话
然后对照服务器那边拼接上传路径