利用ewebeditor编辑器批量检测网站

作者: 伤心的鱼 出处:IT168

现在越来越多的入侵是针对第三方的插件或者文件。那么笔者就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。
说起安全检测的方法大家可能最熟悉的要属注入,上传或者利用网站的配置不当或者管理员的疏忽等等,但是现在越来越多的入侵是针对第三方的插件或者文件。那么笔者就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。

  正文:

  这天笔者正在工作,忽然MSN弹出消息,原来是朋友花钱制作了一个网站,并且买了域名跟空间,想让笔者测试一下网站的安全性与服务器的安全。尽量找出网站存在的一些安全隐患。在朋友的竭力邀请之下笔者开始了这次的入侵检测之旅。

  通过朋友对笔者的叙述笔者了解到。 朋友网站所用的空间就是他买程序的时候官方送他的免费一年使用权, 那么如此说来服务器上肯定会部署很多网站。 而且很有可能是相似的程序,那么是不是入侵其中一个网站然后了解他的配置信息以后再用同样的手法搞定服务器其他网站呢?按照这个思路笔者开始了入侵的旅途。

  首先打开朋友发来的域名,地址为www.pockxxx.com。粗略看了下页面为英文的,是一个卖手机与游戏机的网站。在IP138查询得知域名所对应的IP为210.51.22.X 为北京网通,看来是托管在IDC机房的服务器。使用superscan与IIS扫描器扫描服务器得到如下结果。

  1、服务器操作系统为windows2003 所用IIS版本为6.0

  2、服务器开放 80 1433与3389端口 三个端口

  3、使用telnet 220.250.64.X 1433与3389 端口发现均不能连通,相必服务器是安装了防火墙或者IDS之类软件。 那么既然只有80端口对外开放那么就只能从WEB程序入手了。

  首先打开网站,很漂亮的一个网站程序。大概看了下网站是使用ASP程序发开的。那么首先想到的就是sql injection 也就是SQL注射漏洞,随便打开一个连接,地址为http://www.pcokXXX.com/product.asp?id=1294 在地址后面加一个单引号发现返回的错误信息为:

  Microsoft OLE DB Provider for ODBC Drivers错误80040e14
  [Microsft][ODBC Micorsoft Access Diver] 字符串语法错误 在查询表达式product。asp?id=1294中。
  /product。asp,行 32

  从这个错误提示我们能看出下面几点:

  1、网站使用的是Access数据库,通过ODBC连接数据库,而不是通过JET引擎连接数据库

  2、程序没有判断客户端提交的数据是否符合程序要求。

  3、该SQL语句所查询的表中有一名为productID的字段。

  看来网站是基于ASP+ACCESS数据库的架构了。 使用and 1=1 与and 1=2 发现返回的信息不一样,说名存在SQL注射漏洞 不过网站数据库使用的是ACCESS数据库。那么只能猜解管理压密码登陆后台来拿WEBSHELL了 如果是sql server数据库的话有一定权限还可以使用BACK 来备份一个WEBSHELL。

在确定了存在注射漏洞后,笔者开始了艰辛的猜密码的过程,在注射点后使用SQL语句

And (Select Count(*) from Admin)>=0

发现页面返回正常说明存在admin表。那么既然知道了有admin表就继续猜字段吧。不过一般来说这样的程序用的字段无非这几个 username password id userid user_password pwd name userpwd什么的 所以猜这样的字段非常容易 语句一 挨个试就好了猜了半天 发现admin表里存在username password id三个字段。为了证明自己的猜解没有错误。笔者又使用了啊D的SQL注射工具。 结果发现确实存在username password与ID这三个字段如图1

利用ewebeditor编辑器批量检测网站

  很明显username 跟password是存放管理员用户名与密码的。继续猜

and (select top 1 len(username) from Admin)>0

这里笔者还是要先说下原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8 经过笔者的手工猜解与注射工具想结合终于成功找出管理员的后台密码为[username] : test [password] : katherine 居然还是明问的密码。到这里可能有读者会问?既然有了注射工具为什么还要去手工去猜解密码呢? 这里笔者告诉大家,工具毕竟是死的。不能什么事都依靠工具。如果某一天你在做测试的使用并没有工具的帮忙难道就会没办法么?

  既然知道了管理员的用户名与密码那么就直接准备登陆网站后台了哦?不过另笔者郁闷的事使用注射工具并没有发现网站的后台。并且网站没有admin目录。看来是为了防止网站被
黑客攻击, 笔者的朋友已经更换了网站的后台路径。 不过这个时候笔者平时所搜索的一些路径就有了用武之地了。因为笔者平时喜欢搜索一些网站的后台地址等等的习惯。这样一旦遇到没有见过的路径 比如asdf/logi.asp dd.asp等等。

  所以笔者在这里建议各位读者。适当的多搜索一些有用的信息。 因为一个合格的安全工程师不但要有过人的技术,还需要掌握足够的资源 这样做起事来才能事半功倍。 笔者将自己所掌握的路径信息添加进到注射工具里。然后再一次使用后台地址扫描功能,成功的扫描出网站后台地址为10f2c1dd/login.asp,如图2

利用ewebeditor编辑器批量检测网站

  看到图片可知后台路径设置的是多么隐藏。另外这里还有一个小插曲。就是第一次添加完信息扫描的时候并没有扫描出后台地址, 这里笔者通过自己对朋友的了解,掌握朋友以前的一些习惯自己生成一个小的类似密码字典的东西 这样就成功的找到了后台地址。 所以说有时候适时的利用自己掌握的信息与资源是在渗透或者是其他网络安全工作时必不可少的。
好了,既然知道后台地址了就使用我们猜解到的信息 [username] : test [password] : katherine

用户名为test 密码为katherine 来登陆后台。

进入后台后笔者发现这个网站的后台功能确实是很强大的。功能非常多并且发现支持的组件如下:

组件支持有关参数

  数据库(ADO)支持: √ (支持)
  FSO文本读写: √ (支持)
  Stream文件流: √ (支持)
  CDONTS组件支持: √ (支持)

  我们可能知道,只要是有FSO文本读写的组件我们就可以利用到网的站和后台了,比如上传我们的ASP木马控制网站。 下图为网站后台功能。如图3
利用ewebeditor编辑器批量检测网站

可能读者已经发现,网站的后台功能非常多, 但是大部分权限只能上传一些jpg jif的图片文件, 并不能直接上传ASP文件。 而且网站的后台没有数据库备份的功能。 一时之间还真是不知道该用什么办法去取得WEBSHELL 。 因为如果拿不到WEBSHELL的话只进入到后台并不能算检测成功的。 没办法,只能另外想取得WEBSHELL的方法。 经过半天的寻找,笔者发现网站的后台使用的类似ewebeditor在线文本编辑器的东西,(后经检测确实为ewebeditor在线文本编辑器) 。为了确定笔者的判断,笔者首先将自己的asp木马后缀改名为。jpg的文件格式。 然后利用网站后台编辑文章的地方进行上传。图片上传成功以后我们只需要右键点一个图片的属性就看到图片上传后的地址为

/10f2c1dd/inc/edit/PreviousFile/ 可能有的朋友还对ewebeditor 在线文本编辑器不是很了解, 这里我简单叙述下 ewebeditor在线文本编辑器本身有一个控制后台,可能有很多网站的管理员在使用程序的使用并不知道程序本身已经带有了ewebeditor功能, 所以很大程度上没有对ewebeditor编辑器的重视。而ewebeditor在线文本编辑器的后台地址为admin_login。asp 所以我直接在路径改成/10f2c1dd/inc/edit/admin_login。asp 成功的跳出来了ewebeditor编辑器的后台管理地址,如图4
利用ewebeditor编辑器批量检测网站

  使用ewebeditor管理后台的默认密码admin admin与admin888均不能进入。看来是管理员已经改掉了ewebeditor登陆后台的默认密码,看来管理员还是有一点防范意识的 。不过没关系。管理员的密码是保存在一个access 数据库里的, 我们使用ewebeditor默认的数据库地址DB/Ewebeditor。mdb 看看能不能下载它的默认数据库。 如果能下到数据库的话就有可能找到管理员的用户密码哦?马上在IE地址栏输入: 

http://www.pockxxx.com/10f2c1dd/inc/edit/DB/Ewebeditor.mdb


  成功的弹出了数据库,说明管理压虽然更改了ewebeditor的后台密码。

更多相关文章
  •  0x00 概览 Hacking Team的RCS针对的系统平台覆盖面广.泄漏的源码模块众多.安恒安全研究团队发现其中的vector-rmi-master.zip为一个WAP PUSH命令行工具. WAP PUSH即WAP网络信息推送,黑客可在短消息中嵌入恶意链接,或直接用畸形数据对WAP PUSH ...
  • 企业信息经理们面临诸多挑战.他们的员工越来越多地呈现全球性分布状态,常驻总部的用户们越来越少,而且派驻海外的比例也成上升趋势. 改变影响着企业信息技术 那些应用程序的性质也随着更多像语音.视频会议.远程桌面访问之类的实时和互动应用程序的出现,而产生变化.CEO和CIO们越来越喜欢利用公共云计算服务和 ...
  •   使用多个虚拟机,将开发环境和工作沟通环境分开(即时通,办公系统都只能在windows下使用…),将开发环境的服务提供给外部访问时,需要在主机上通过代理配置数据转发.  VirtualBox提供了端口转发的功能,可以将主机中的端口转发至指定IP的虚拟机中的端口,支持TCP协议和UDP协议.但有一个 ...
  • 效果: ↑本站版本↑(使用BootStrap) <!--[if lte IE 9]> <div class="alert alert-info alert-dismissible fade in" role="alert"> <b ...
  • iMAG是一个非常简洁高效的移动跨平台开发框架,开发一次可以同时兼容Android和iOS平台,有点儿Web开发基础就能很快上手.当前移动端跨平台开发的框架有很多,但用iMAG还有一个好处,就是用iMAG开发出的App是原生的.iMAG采用 + (配置 + 脚本)的开发方式,它的原理是将符合iMAG ...
  • 任何一个重要的数据库无疑都会拥有不止一个依赖者.即使该数据库只是简单地被两个Web 应用程序所共享,也有许多事情需要考虑.假设有一个名为网上购物车的Web应用程序,它使用了一个包含类别代码的数据库.就网上购物车来说,类别代码是静态的,永远不会变化,所以该应用程序高速缓存了这些代码以提高性能.现在再假 ...
一周排行
  • 一.清除浮动和闭合浮动 所谓清除浮动,是指显示上正确.避免了文档流自动包裹浮动元素的特性(常见的是footer部分设置clear:both;属性): 而闭合浮动,是确实解决了高度塌陷的问题,使得wrap元素具有了高度 ...
  • 我们可以给一个实例绑定很多属性,如果有些属性不希望被外部访问到怎么办? Python对属性权限的控制是通过属性名来实现的,如果一个属性由双下划线开头(__),该属性就无法被外部访问.看例子: class Person ...
  • # include # include # include # include using namespace std; char a[1010][1010]; int dd[1010][1010];///宽度 in ...
  • Cocos2d-x 3.6项目打包生成apk安卓应用文件,搭建安卓环境的步骤有点繁琐,但搭建一次之后,以后就会非常快捷! 步骤如下: 一.下载安卓环境:搭建Android环境需要用到Android SDK.NDK.A ...
  • 彭博社援引业内人士的消息称,百度向室内导航技术服务公司IndoorAtlas投资1万美元,以强化百度在室内导航方面的技术.据该知情人士称,引入百度的投资过后,IndoorAtlas的整体估值高达4~5万美元. Ind ...
  • 题目链接:Problem C 题意:输入一个文本,找出所有不同的单词,按照字典序从小到大输出,单词不区分大小写. 思路:将字母序列都存为小写,非字母的字符变成空格,然后利用stringstream实现sting对象的 ...
  • 弹了几下,发现自己很有音乐天赋呢,于是决定保存下来,永久收藏. 下面是我从Google首页上抠下来的电吉他源代码,去掉了无关代码,Google保留所有权利. Google 电吉他在线演示: Google 电吉他源代码 ...
  • Speaker: Andrew Ng   1. Introduction 1.A comptuter program is said to learn from experience E with respect t ...
  • Spring 3.0以后的版本相比于2时代的版本一个重要的变化就是aop所依赖的jar包没有一起发布,需要自己单独下载. Spring AOP部分使用JDK动态代理或者CGLIB来为目标对象创建代理.如果被代理的目标 ...
  • 正确的打炮方式(大雾)(点我查看)   1 问题是中文的,大家可以进去看看.   先说一个坑,这个问题我交了很多次,都没过,反正是WA到我烦了,都不知道哪里错了!!!怎么会有错,然后翻了一下别人的代 ...