7. 編輯器漏洞整理

1.常見的編輯器

常見的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。這里有份編輯器漏洞手冊:

http://navisec.it/%E7%BC%96%E8%BE%91%E5%99%A8%E6%BC%8F%E6%B4%9E%E6%89%8B%E5%86%8C/

 

2.Ewebeditor編輯器

 

Ewebeditor是基於瀏覽器的、所見即所得的在線HTML編輯器。她能夠在網頁上實現許多桌面編輯軟件（如：Word）所具有的強大可視編輯功能。WEB開發人員可以用她把傳統的多行文本輸入框<TEXTAREA>替換為可視化的富文本輸入框，使最終用戶可以可視化的發布HTML格式的網頁內容。eWebEditor!已基本成為網站內容管理發布的必備工具！

 

3.Ewebeditor利用核心

 

如何發現編輯器地址

Ewebeditor：
默認后台：ewebeditor/admin_login.asp
默認數據庫：ewebeditor/db/ewebeditor.mdb
默認賬號密碼：admin admin/admin888

 

4.利用過程

 

通常入侵ewebeditor編輯器的步驟如下:

 

1、首先訪問默認管理頁看是否存在

 

       默認管理頁地址2.80以前為 ewebeditor/admin_login.asp 以后版本為admin/login.asp(其他語言改后戳,這里以asp為例) 。

 

 

2、默認管理帳號密碼

       默認管理頁存在！我們就用帳號密碼登陸！默認帳號密碼為: admin admin888 ！常用的密碼還有admin admin999 admin1 admin000 之類的。

 

3、默認數據庫地址

       如果密碼不是默認的。我們訪問的就不是默認數據庫！嘗試下載數據庫得到管理員密碼！管理員的帳號密碼，都在eWebEditor_System表段里，sys_UserName Sys_UserPass 都是md5加密的。得到了加密密碼。可以去www.cmd5.com www.xmd5.org 等網站進行查詢！暴力這活好久不干了！也可以丟國外一些可以跑密碼的網站去跑!

 

默認數據庫路徑為:ewebeditor/db/ewebeditor.mdb 常用數據庫路徑為:

ewebeditor/db/ewebeditor.asa 

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa 

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp 

ewebeditor/db/ewebeditor1033.mdb 等等。

 

 

       很多管理員常改.asp后綴，一般訪問.asp .asa 后綴的都是亂碼！可以用下載工具下載下來，然后更改后綴為.mdb來查看內容！

 

 

4、漏洞基本利用步驟，以asp為例！

     1）  登陸后台以后。選擇樣式管理，默認編輯器的默認樣式都不可以修改的。我們可以從任意樣式新建一個樣式，然后在圖片上傳添加可上傳后綴。.asa .cer .cdx 等！.asp 過濾過了。但是我們可以用.aaspsp后綴來添加，這樣上傳文件正好被ewebeditor 吃掉asp后綴，剩下.asp 。同樣，如果遇到一個管理員有安全意識的，從代碼里，把.asp .asa .cer .cdx 都完全禁止了，我們也可以用.asasaa 后綴來突破。添加完了后綴，可以在樣式管理，點擊預覽，然后上傳！

 

asa|cer|asp|aaspsp

Asa cer 它可以在iis6.0平台解析為asp執行

Aaspsp：繞過過濾 過濾asp aaspsp=》asp

 

注意：低版本ewebeditor不支持ie7.0以下版本訪問（ietest軟件模擬ie6.0上傳）

 

以下以2.1.6這個版本為例來演示:

 

點擊樣式管理,然后新增樣式

 

 

在圖片類型中加入以下類型:asa|cer|asp|aaspsp

 

 

然后點擊提交。

 

 

然后在工具欄里新增工具

 

 

 

在按鈕設置里新增"插入或修改圖片"

 

 

然后點擊保存設置。然后再回去點擊預覽。

 

 

控件效果就出來了。然后直接上傳一句話木馬

 

 

點擊確定，上傳成功，之后，查看代碼，就能看到完整的地址

 

 

用菜刀一連就能就OK了。。。

 

2）目錄遍歷

 

點擊"上傳文件管理" 然后選擇樣式目錄。

 

 

在id=14后面加上&dir=../

 

http://192.168.87.129:8123/admin_uploadfile.asp?id=14&dir=../

 

發現沒有起作用，那就是2.1.6這個版本不存在這個漏洞。換成2.8.0。2.8.0存在這個漏洞

 

 

能遍歷目錄。

 

 

3）尋找前人痕跡再次入侵

 

有時候用戶名與密碼得等不進去，但是數據庫可以下載，這時候就可以看下是否有前人入侵過，如果有人入侵過的話，就可以利用下面的方法進入突破。

 

如何判斷有前人入侵過了??下載好數據庫之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加過什么。

 

 

使用下面的語句進入突破:

 

ewebeditor.asp?ID=xx&style=yy  

 

其中的id=xx就是被修改過的那條記錄的id，而yy就是S_name字段的名字。

 

 

例如這里就修改成: ewebeditor.asp?ID=54&style=testckse 去訪問

 

 

圖片控件就出來了。。

 

 

5.FCKeditor編輯器

 

可以去這下載編輯器:http://download.csdn.net/detail/u011781521/9767326

 

1.查看編輯器版本

 

FCKeditor/_whatsnew.html

 

 

2.FCKeditor編輯器頁

FCKeditor/_samples/default.html

 

 

3.常用上傳地址

 

    1. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp  
    2. FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/  
    3. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp  
    4. FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp  

 

由於這里用的是2.5的版本所以下面這條語句能用

 

http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp  

 

 

如果在輸入以上地址測試的過程中彈出以下的提示

 

 

那就是沒有開啟文件上傳功能,要把\editor\filemanager\connectors\asp\config.asp文件中的

 

Dim ConfigIsEnabled
ConfigIsEnabled = False

 

設置成功true。就行了，然后上傳6.asp;.jpg文件試試

 

 

發現他進行了過濾6.asp;.jpg改成了6_asp;.jpg,把點改成了下划線。審查元素看下圖片的路徑

 

 

 

訪問這個路徑看下。

 

 

asp文件並沒有被解析成功。

 

這就是fckeditor過濾"."為"_"的一個機制,想要突破的話有以下兩種方式：

 

1.二次上傳

 

第一次上傳：qq.asp;.jpg ==》qq_asp;.jpg

第二次上傳：qq.asp;.jpg ==》qq_asp;.jpg (不滿足命名要求)

可能出現第二次命名為 qq.asp;.(1).jpg

 

 

還是被過濾了。。

 

 

2.新建上傳

 

手動新建一個文件夾

 

 

發現他還是過濾了。那我們只有突破建立文件夾了。

 

執行以下地址就能成功創建文件夾

 

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp  

 

這又是為什么了????手動不能創建，而通過以上地址就能成功創建了，讓我們來對比下，手動創建和通過以上地址創建的一個區別。

 

 

漏洞地址：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp

 

手工新建：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

 

原因：

CurrentFolder：當前文件夾 未進行過濾(這個文件夾下的沒有過濾)

NewFolderName：新建文件名 進行了過濾

這就是為什么通過上面地址能創建，而手動卻不能創建的一個原因，然后我們再上傳6.asp;.jpg到fendo.asp文件下看是否成功解析。

 

 

成功解析。。

 

3.DotNetTextBox編輯器漏洞利用

 

DotNetTextBox編輯器洞洞文件上傳漏洞

詳細說明：

漏洞證明：

1、用firebug將disabled="disabled'，value="jgp,gif,png"修改為enabled="enabled",value="jpg,gif,png,aspx"，然后點更新成功按鈕

 

2、彈出更新成功

 

3、刷新頁面，發現此時可允許上傳的圖片類型，成功新增aspx類型

 

4、找個aspx webshell上傳、提示文件上傳成功

 

5、上傳成功、成功躺在那里

 

6、webshell頁面

 

 

但是有 system_dntb/uploadimg.aspx 並能打開，這時候是不能上傳的，由於他是驗證cookie來得出上傳后的路徑，這樣我們可以用cookie欺騙工具。或者用burpsuite抓包修改cookie，修改為：

cookie:UserType=0; IsEdition=0; Info=1; uploadFolder=../system_dntb/Upload/

路徑可以修改，只是權限夠，上傳后改名為1.asp;.jpg利用iis解析漏洞。