ue编辑器漏洞_7. 编辑器漏洞整理
1.常见的编辑器
常见的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。这里有份编辑器漏洞手册:
2.Ewebeditor编辑器
Ewebeditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框替换为可视化的富文本输入框,使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具!
3.Ewebeditor利用核心
如何发现编辑器地址
Ewebeditor:
默认后台:ewebeditor/admin_login.asp
默认数据库:ewebeditor/db/ewebeditor.mdb
默认账号密码:admin admin/admin888
4.利用过程
通常入侵ewebeditor编辑器的步骤如下:
1、首先访问默认管理页看是否存在
默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp(其他语言改后戳,这里以asp为例)
。
2、默认管理帐号密码
默认管理页存在!我们就用帐号密码登陆!默认帐号密码为: admin admin888 !常用的密码还有admin
admin999 admin1 admin000 之类的。
3、默认数据库地址
如果密码不是默认的。我们访问的就不是默认数据库!尝试下载数据库得到管理员密码!管理员的帐号密码,都在eWebEditor_System表段里,sys_UserName
Sys_UserPass 都是md5加密的。得到了加密密码。可以去www.cmd5.com www.xmd5.org 等网站进行查询!暴力这活好久不干了!也可以丢国外一些可以跑密码的网站去跑!
默认数据库路径为:ewebeditor/db/ewebeditor.mdb 常用数据库路径为:
ewebeditor/db/ewebeditor.asa
ewebeditor/db/ewebeditor.asp
ewebeditor/db/#ewebeditor.asa
ewebeditor/db/#ewebeditor.mdb
ewebeditor/db/!@#ewebeditor.asp
ewebeditor/db/ewebeditor1033.mdb 等等。
很多管理员常改.asp后缀,一般访问.asp
.asa 后缀的都是乱码!可以用下载工具下载下来,然后更改后缀为.mdb来查看内容!
4、漏洞基本利用步骤,以asp为例!
1) 登陆后台以后。选择样式管理,默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式,然后在图片上传添加可上传后缀。.asa .cer .cdx 等!.asp 过滤过了。但是我们可以用.aaspsp后缀来添加,这样上传文件正好被ewebeditor 吃掉asp后缀,剩下.asp 。同样,如果遇到一个管理员有安全意识的,从代码里,把.asp .asa .cer .cdx 都完全禁止了,我们也可以用.asasaa
后缀来突破。添加完了后缀,可以在样式管理,点击预览,然后上传!
asa|cer|asp|aaspsp
Asa cer 它可以在iis6.0平台解析为asp执行
Aaspsp:绕过过滤 过滤asp aaspsp=》asp
注意:低版本ewebeditor不支持ie7.0以下版本访问(ietest软件模拟ie6.0上传)
以下以2.1.6这个版本为例来演示:
点击样式管理,然后新增样式
在图片类型中加入以下类型:asa|cer|asp|aaspsp
然后点击提交。
然后在工具栏里新增工具
在按钮设置里新增"插入或修改图片"
然后点击保存设置。然后再回去点击预览。
控件效果就出来了。然后直接上传一句话木马
点击确定,上传成功,之后,查看代码,就能看到完整的地址
用菜刀一连就能就OK了。。。
2)目录遍历
点击"上传文件管理" 然后选择样式目录。
在id=14后面加上&dir=../
http://192.168.87.129:8123/admin_uploadfile.asp?id=14&dir=../
发现没有起作用,那就是2.1.6这个版本不存在这个漏洞。换成2.8.0。2.8.0存在这个漏洞
能遍历目录。
3)寻找前人痕迹再次入侵
有时候用户名与密码得等不进去,但是数据库可以下载,这时候就可以看下是否有前人入侵过,如果有人入侵过的话,就可以利用下面的方法进入突破。
如何判断有前人入侵过了??下载好数据库之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。
使用下面的语句进入突破:
ewebeditor.asp?ID=xx&style=yy
其中的id=xx就是被修改过的那条记录的id,而yy就是S_name字段的名字。
例如这里就修改成: ewebeditor.asp?ID=54&style=testckse 去访问
图片控件就出来了。。
5.FCKeditor编辑器
1.查看编辑器版本
FCKeditor/_whatsnew.html
2.FCKeditor编辑器页
FCKeditor/_samples/default.html
3.常用上传地址
1. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
2. FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/3. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
4. FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
由于这里用的是2.5的版本所以下面这条语句能用
http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp
如果在输入以上地址测试的过程中弹出以下的提示
那就是没有开启文件上传功能,要把\editor\filemanager\connectors\asp\config.asp文件中的
Dim ConfigIsEnabled
ConfigIsEnabled = False
设置成功true。就行了,然后上传6.asp;.jpg文件试试
发现他进行了过滤6.asp;.jpg改成了6_asp;.jpg,把点改成了下划线。审查元素看下图片的路径
访问这个路径看下。
asp文件并没有被解析成功。
这就是fckeditor过滤"."为"_"的一个机制,想要突破的话有以下两种方式:
1.二次上传
第一次上传:qq.asp;.jpg ==》qq_asp;.jpg
第二次上传:qq.asp;.jpg ==》qq_asp;.jpg (不满足命名要求)
可能出现第二次命名为qq.asp;.(1).jpg
还是被过滤了。。
2.新建上传
手动新建一个文件夹
发现他还是过滤了。那我们只有突破建立文件夹了。
执行以下地址就能成功创建文件夹
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp
这又是为什么了????手动不能创建,而通过以上地址就能成功创建了,让我们来对比下,手动创建和通过以上地址创建的一个区别。
漏洞地址:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp
手工新建:
/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp
原因:
CurrentFolder:当前文件夹未进行过滤(这个文件夹下的没有过滤)
NewFolderName:新建文件名进行了过滤
这就是为什么通过上面地址能创建,而手动却不能创建的一个原因,然后我们再上传6.asp;.jpg到fendo.asp文件下看是否成功解析。
成功解析。。
3.DotNetTextBox编辑器漏洞利用
DotNetTextBox编辑器洞洞文件上传漏洞
详细说明:
漏洞证明:
1、用firebug将disabled="disabled',value="jgp,gif,png"修改为enabled="enabled",value="jpg,gif,png,aspx",然后点更新成功按钮
2、弹出更新成功
3、刷新页面,发现此时可允许上传的图片类型,成功新增aspx类型
4、找个aspx webshell上传、提示文件上传成功
5、上传成功、成功躺在那里
6、webshell页面
但是有 system_dntb/uploadimg.aspx 并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具。或者用burpsuite抓包修改cookie,修改为:
cookie:UserType=0; IsEdition=0; Info=1; uploadFolder=../system_dntb/Upload/
路径可以修改,只是权限够,上传后改名为1.asp;.jpg利用iis解析漏洞。
ue编辑器漏洞_7. 编辑器漏洞整理相关推荐
- fckeditor漏洞_三十,文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御
一.编辑器漏洞 1.编辑器 编辑器属于第三方软件,它的作用是方便网站管理员上传或编辑网站上的内容,类似我们电脑上的Word文档. 编辑器通常分为两种情况: (1) 不需要后台验证,可以直接在前台访问且 ...
- UEditor编辑器存储型XSS漏洞
挖洞经验|UEditor编辑器存储型XSS漏洞 - FreeBuf网络安全行业门户 前言 UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点 ...
- [网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了文件上传漏洞和IIS6.0解析漏洞,包括PHP345文件绕过上传.Win ...
- (23)【漏洞利用】【原理、利用过程】中间件解析漏洞、CMS漏洞、编辑器漏洞、CVE漏洞
目录 解析漏洞: 原理: 变化因素: 熟知的中间件(解析漏洞) 0x01 IIS5.x-6.x解析漏洞: (1)目录解析漏洞(IIS6.0) 原理: 利用过程: (2)文件解析漏洞 原理: 利用 ...
- 文件上传漏洞、WebShell、防御及绕过利用、Web容器解析漏洞、编辑器上传漏洞
文章目录 文件上传漏洞 漏洞概述 漏洞成因 漏洞危害 WebShell 大马 小马 GetShell 漏洞利用的条件 PUT方法上传文件 漏洞的防御.绕过和利用 黑白名单策略 安装upload-lab ...
- 文件上传漏洞、编辑器漏洞和条件竞争漏洞介绍(笔记)
(一)文件上传漏洞介绍: 文件上传是Web应用的必备功能之一,比如,上传头像.上传简历.上传文档等. 那么上传的过程中如果对用户上传的文件未校验或者校验不严格.过滤不严格,那么恶意用户就可以恶意修改上 ...
- Hue 后台编辑器 远程命令执行漏洞
Hue 后台编辑器 远程命令执行漏洞 此文章仅供用于学习研究,严禁用于非法用途,否则后果自负. 漏洞简介 Hue 后台编辑器存在命令执行漏洞,攻击者通过编辑上传 xxx.sh 文件即可达到命令执行的目 ...
- kindeditor编辑器文件上传漏洞
kindeditor编辑器版本小于4.1.5存在文件上传漏洞,可利用该漏洞上次网页.文本文件,可网站进行篡改,添加赌博.反共等违法信息. 通过扫描器发现该网站存在编辑器. 通过浏览器访问,确定该编辑器 ...
- BOM123编辑器(123BOM编辑器)是硬件工程师整理BOM的好帮手,3分钟完成一份BOM集成整理,很适合自己创业的工程师
BOM123编辑器(123BOM编辑器)是硬件工程师整理BOM的好帮手 BOM123编辑器(www.BOM123.com)是硬件工程师整理BOM的好帮手 (www.123BOM.com) BOM清单准 ...
最新文章
- python 模拟浏览器selenium 微信_Spider-Python爬虫之使用Selenium模拟浏览器行为
- 基于Shodan Python库的批量攻击实践 撒旦网
- mysql六:索引原理与慢查询优化
- oracle中alter用法,将oracle的create语句更改为alter语句使用
- python保存模型 特征_Pytorch提取模型特征向量保存至csv的例子
- Java-绘图相关技术
- geant4运行例子_Geant4--一次编译,运行多个Run,极大提升模拟效率
- 一个请求多个响应_一个TCP连接到底可以发多少个HTTP请求?
- Python自定义分页组件
- java 输入框_Java文本框和文本区的输入输出
- U-Mail邮件服务器教你反垃圾邮件新方法
- 洛谷P3275 [SCOI2011]糖果
- 安装高版本的java_运行“需要Java 11或更高版本”的Visual Studio代码。请下载并安装最新的JDK”...
- 【综合篇】Web前端性能优化原理问题
- 爬虫 + 数据分析 - 7 CrawlSpider(全站爬取), 分布式, 增量式爬虫
- 手机连接投影机的步骤_投影仪怎么连接手机 投影仪连接手机方法介绍【详细步骤】...
- 微程序,微指令,微命令,微操作,机器指令之间的关系
- 哈夫曼树(huffman)
- GAFA将改变全球半导体势力版图
- 【NOIP2017提高A组模拟9.5】 NYG的背包
热门文章
- 数据要素市场的发展及运行
- 自定义带取景框的camera
- 磨皮美白搞笑图片处理
- 数字世界,企业何以抵御勒索病毒?
- 好听的歌曲单片机c语言程序,单片机C语言程序举例(三)
- 采访 Paradigm合伙人 :Crypto将是席卷 世界 的强大 浪潮
- python多张图片生成ppt_天呐,还能这么玩!用 Python 生成动态 PPT
- mysql正则表达式数字开头_在MySQL中选择所有以5个数字字符(正则表达式)开头的电子邮件地址...
- 奇怪,奇怪,不过想想在中国酒不奇…
- CodeForces - 298B Sail (思维题)