今天满满的一天课,我就趁着晚上的一点时间,新学了一个漏洞。
ewebeditor编辑器漏洞:
网站的编辑器有很多种:ewebeditor,fckeditor,ckeditor,kindeditor...其中应用最广泛的就是前两种。
编辑器是网站的一部分,可以处理文档、图像、音频、视频等,但不可以上传脚本格式,登陆后台后可以添加上传类型。编辑器漏洞利用的核心就是要找到目标网站编辑器的地址,可以通过扫描,搜索等方法。
一般情况下,ewebeditor编辑器的默认后台: /ewebeditor/admin_login.asp /ewebeditor/admin/login.asp
默认数据库:/ewebeditor/db/ewebeditor.mdb(输入后有的网站可以直接下载数据库里面有用户名和密码)
默认账号密码:admin admin888
ewebeditor编辑器漏洞的利用流程为:先去找编辑器的地址和默认后台,找到后台后尝试用默认账号密码登录,如果账号密码不正确,就去找数据库的地址下载数据库,里面就有帐号密码,密码加密如果解不住来,就没有办法了。如果密码解出登陆后台后,ewebeditor编辑器就有一个目录遍历漏洞,就是在url地址后加&dir..\..就可以看到网站的所有目录,这就可以为我们之后的入侵增加成功的几率。进入后台后,我们还可以添加上传类型asp等格式,有的网站会存在过滤我们可以用aaspsp来绕过。添加上之后就可以上传一句话木马,拿到webshell进行连接。
fackeditor编辑器漏洞:
fackeditor的漏洞利用过程为:找编辑器地址,判断网站脚本类型,尝试组合漏洞地址,访问漏洞地址,上传文件(与解析漏洞结合利用),审查元素得到上传文件完整路径
fackeditor存在两种解析漏洞一种是文件形式的和iis6.0的漏洞相似:xx.asp;.txt xx.asp;.xx.txt上传这样的文件会被当作asp来执行,还有一种是文件夹形式的:xx.asp/xx.jpg 这时xx.jpg也会被当作asp来执行。但是在上传文件时,高版本的编辑器会将其中的.转译成_这样就起不到asp应有的效果,绕过的方法有两种,一个是对文件进行二次上传,第二次上传的文件中的.就不会被转义。还有一种方法就是用burpsuite进行抓包改包上传,在抓到的包中会出现类似这样的一段:Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=x.asp
NewFolderName后的参数会被过滤,CurrentFolder后的参数不会被过滤,CurrentFolder是又来操作目录的,所以可以将包改成上面那种形式就可以上传成功,然后就可以进行后续的上传一句话等操作。