https://www.heckjj.com/index.php zh-cn https://www.heckjj.com/post// Heck <@hecks.tk> Sun, 22 Aug 2010 08:18:40 +0000 https://www.heckjj.com/post// 说起安全检测的方法大家可能最熟悉的要属注入了，上传或者利用网站的配置不当或者管理员的疏忽等等，但是现在越来越多的入侵是针对第三方的插件或者文件。那么今天猪头(Heck)就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。

    首先打开网站，很漂亮的一个网站程序。大概看了下网站是使用ASP程序发开的。那么首先想到的就是sql injection 也就是SQL注射漏洞，随便打开一个连接，地址为http://www.whcl.hk/about.asp?xlid=39 在地址后面加一个单引号发现返回的错误信息为：
  
      Microsoft JET Database Engine 错误 '80040e14'
　   语法错误 (操作符丢失) 在查询表达式 'xlid=39‘' 中。
    
       /about.asp，行 18
　　从这个错误提示我们能看出下面几点：
　　1、网站使用的是Access数据库，通过ODBC连接数据库，而不是通过JET引擎连接数据库
　　2、程序没有判断客户端提交的数据是否符合程序要求。
　　3、该SQL语句所查询的表中有一名为xlid的字段。

一看就知道这个网站是基于ASP+ACCESS数据库的架构了。 使用and 1=1 与and 1=2 发现返回的信息不一样，说名存在SQL注射漏洞 不过网站数据库使用的是ACCESS数据库。那么只能猜解管理压密码登陆后台来拿WEBSHELL了 如果是sql server数据库的话有一定权限还可以使用BACK 来备份一个WEBSHELL。
　　 在确定了存在注射漏洞后，猪头开始了艰辛的猜密码的过程，在注射点后使用SQL语句
And (Select Count(*) from Admin)>=0
　　发现页面返回正常说明存在admin表。那么既然知道了有admin表就继续猜字段吧。不过一般来说这样的程序用的字段无非这几个 username password id userid user_password pwd name userpwd admin_name admin_password什么的 所以猜这样的字段非常容易 语句一复制 挨个试就好了猜了半天 发现admin表里存在admin_username admin_password id三个字段。很明显admin_name 跟admin_password是存放管理员用户名与密码的。继续猜 and (select top 1 len(admin_name) from Admin)>0 。

     在这里猪头还是要先说下原理：如果top 1的username长度大于0，则条件成立;接着就是>1、>2、>3这样测试下去，一直到条件不成立为止，比如>7成立，>8不成立，就是len(admin_name)=8 经过猪头的手工猜解与注射工具想结合终于成功找出管理员的后台密码为[admin_name] : admin [admin_password] :。到这里可能有人会问?既然有了注射工具为什么还要去手工去猜解密码呢? 这里猪头告诉大家，工具毕竟是死的。不能什么事都依靠工具。如果某一天你在做测试的使用并没有工具的帮忙难道就会没办法么?

   既然知道了管理员的用户名与密码那么就直接准备登陆网站后台了嘛？不过让我郁闷的事使用注射工具并没有发现网站的后台。并且网站没有admin目录。看来是为了防止网站被黑客攻击， 我想网站管量员已经更换了网站的后台路径。 不过这时平时猪头所搜索的一些路径就有了用武之地了。因为猪头呀平时喜欢搜索一些网站的后台地址等等的习惯。这样一旦遇到没有见过的路径 比如asdf/logi.asp dd.asp还有vip或者是乱写一通的等等。

    所以猪头我要在这里建议各位朋友呀。适当的多搜索一些有用的信息。 因为一个合格的安全工程师不但要有过人的技术，还需要掌握足够的资源 这样做起事来才能事半功倍。 猪头将自己所掌握的路径信息添加进到注射工具里。然后再一次使用后台地址扫描功能，成功的扫描出网站后台地址为vip/index.asp，如图:
    
    
     各位朋友们网站的后台功能非常多， 但是大部分权限只能上传一些jpg、gif的图片文件， 并不能直接上传ASP文件。 而且网站的后台没有数据库备份的功能。 一时之间还真是不知道该用什么办法去取得WEBSHELL 。 因为如果拿不到WEBSHELL的话只进入到后台并不能算检测成功的。 没办法，只能另外想取得WEBSHELL的方法。

         经过半天的寻找，猪头终于发现网站的后台使用的类似ewebeditor在线文本编辑器的东西，(后经检测确实为ewebeditor在线文本编辑器) 。为了确定猪头的判断，猪头首先将自己的asp木马后缀改名为.jpg的文件格式。 然后利用网站后台编辑文章的地方进行上传。图片上传成功以后我们只需要右键点一个图片的属性就看到图片上传后的地址为/wbbjq/UploadFile/ 可能有的朋友还对ewebeditor 在线文本编辑器不是很了解， 这里我简单叙述下 ewebeditor在线文本编辑器本身有一个控制后台，可能有很多网站的管理员在使用程序的使用并不知道程序本身已经带有了ewebeditor功能， 所以很大程度上没有对ewebeditor编辑器的重视。而ewebeditor在线文本编辑器的后台地址为admin_login.asp 所以我直接在路径改成/wbbjq/admin_login.asp 呵呵 成功的跳出来了ewebeditor编辑器的后台管理地址，如图：

哈，这个密码没有改:

用户名admin 密码也是admin.真是让猪头蛋疼呀。

不过这下好了。本来只能上传一些jpg、gif的图片文件， 并不能直接上传ASP文件。可以进去管理这个编辑器的样式了，进入一项自定义样式的编辑，基其它文件类型制中加个asa的文件然后把webshell的后缀改成.asa的。然去后台随便找个发新闻的地方上传我们的webshell文件。


这会就搞定了



这个webshell的地址就拿到了按上面上传的地址访问。




接着就可以通过webshell的CMD命令来提权拿下服务器了。。

Tags - 入侵 , 检测 ]]> https://www.heckjj.com/post//#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 https://www.heckjj.com/post//#blogcomment