今天滿滿的一天課,我就趁着晚上的一點時間,新學了一個漏洞。
ewebeditor編輯器漏洞:
網站的編輯器有很多種:ewebeditor,fckeditor,ckeditor,kindeditor...其中應用最廣泛的就是前兩種。
編輯器是網站的一部分,可以處理文檔、圖像、音頻、視頻等,但不可以上傳腳本格式,登陸後臺後可以添加上傳類型。編輯器漏洞利用的核心就是要找到目標網站編輯器的地址,可以通過掃描,搜索等方法。
一般情況下,ewebeditor編輯器的默認後臺: /ewebeditor/admin_login.asp /ewebeditor/admin/login.asp
默認數據庫:/ewebeditor/db/ewebeditor.mdb(輸入後有的網站可以直接下載數據庫裏面有用戶名和密碼)
默認賬號密碼:admin admin888
ewebeditor編輯器漏洞的利用流程爲:先去找編輯器的地址和默認後臺,找到後臺後嘗試用默認賬號密碼登錄,如果賬號密碼不正確,就去找數據庫的地址下載數據庫,裏面就有帳號密碼,密碼加密如果解不住來,就沒有辦法了。如果密碼解出登陸後臺後,ewebeditor編輯器就有一個目錄遍歷漏洞,就是在url地址後加&dir..\..就可以看到網站的所有目錄,這就可以爲我們之後的***增加成功的機率。進入後臺後,我們還可以添加上傳類型asp等格式,有的網站會存在過濾我們可以用aaspsp來繞過。添加上之後就可以上傳一句話***,拿到webshell進行連接。
fackeditor編輯器漏洞:
fackeditor的漏洞利用過程爲:找編輯器地址,判斷網站腳本類型,嘗試組合漏洞地址,訪問漏洞地址,上傳文件(與解析漏洞結合利用),審查元素得到上傳文件完整路徑
fackeditor存在兩種解析漏洞一種是文件形式的和iis6.0的漏洞相似:xx.asp;.txt xx.asp;.xx.txt上傳這樣的文件會被當作asp來執行,還有一種是文件夾形式的:xx.asp/xx.jpg 這時xx.jpg也會被當作asp來執行。但是在上傳文件時,高版本的編輯器會將其中的.轉譯成_這樣就起不到asp應有的效果,繞過的方法有兩種,一個是對文件進行二次上傳,第二次上傳的文件中的.就不會被轉義。還有一種方法就是用burpsuite進行抓包改包上傳,在抓到的包中會出現類似這樣的一段:Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=x.asp
NewFolderName後的參數會被過濾,CurrentFolder後的參數不會被過濾,CurrentFolder是又來操作目錄的,所以可以將包改成上面那種形式就可以上傳成功,然後就可以進行後續的上傳一句話等操作。