Recomendado: Interpretar el código general de ataque de inyección anti-SQL en programas ASP Inyección SQL Las solicitudes http generales no son más que obtener y publicar, por lo que siempre que filtremos todos los caracteres ilegales en la información de parámetros de la publicación u obtener solicitudes en el archivo, podemos evitar ataques de inyección SQL. La solicitud de obtención pasada por IIS a asp.dll tiene la forma de una cadena. Cuando los datos se pasan a Request.QueryString, el analizador asp analizará Request.QueryString.
Primero, presentamos algunas características predeterminadas del editor:Inicio de sesión predeterminado admin_login.asp
Base de datos predeterminada db/ewebeditor.mdb
Contraseña de administrador de cuenta predeterminada admin o admin888
Buscar inurl:ewebeditor en baidu/google
Existen al menos unos miles de sitios web con funciones predeterminadas, así que pruebe el backend predeterminado.
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
Intente iniciar sesión con la cuenta y contraseña predeterminadas.
Los pasos para obtener WebShell usando eWebEditor son aproximadamente los siguientes:
1. Asegúrese de que el sitio web utilice eWebEditor. En términos generales, solo debemos prestar atención a si la página donde se publica la publicación (artículo) tiene un ícono marcado similar y podemos hacer un juicio aproximado.
2. Vea el código fuente y busque la ruta de eWebEditor. Haga clic para ver el código fuente y ver si hay declaraciones similares a <iframesrc='/edit/ewebeditor.asp?id=content&style=web'frameborder=0scrolling=nowidth='550'HEIGHT='350'></iframe> en el código fuente. De hecho, sólo descubriendo la existencia de dicha declaración podremos estar realmente seguros de que este sitio web utiliza eWebEditor. Luego escriba *** en src='***', esta es la ruta del eWebEditor.
3. Visite la página de inicio de sesión de administración de eWebEditor. La página de administración predeterminada de eWebEditor es admin_login.asp, que se encuentra en el mismo directorio que ewebeditor.asp. Tomando la ruta anterior como ejemplo, la dirección que visitamos es: http://www.***.net/edit/admin_login.asp para ver si aparece la página de inicio de sesión.
Si no ve esa página, significa que el administrador ha eliminado la página de inicio de sesión de administración. Jaja, ¿qué está esperando? Simplemente salga e intente en otro lugar. Pero en términos generales, rara vez veo que un administrador elimine esta página. Pruebe con el nombre de usuario predeterminado: admin, contraseña: admin888. ¿Qué tal? ¿Se realizó correctamente (consulte el siguiente artículo si no es la cuenta predeterminada)?
4. Agregue tipos de archivos de carga. Haga clic en Gestión de estilos y seleccione cualquier configuración de estilo al final de la lista. ¿Por qué debería seleccionar el estilo al final de la lista? Debido a que no se permite modificar los estilos que vienen con eWebEditor, por supuesto, también puede copiar un nuevo estilo y configurarlo.
Luego agregue el tipo asa al tipo de archivo cargado.
5. Cargue el troyano ASP y obtenga WebShell. A continuación, cambie la extensión del troyano ASP a asa y podrá simplemente cargar su troyano ASP. No me preguntes como subirlo. ¿Has visto el avance? Simplemente haga clic en Vista previa y luego seleccione el botón para insertar otros archivos.
Principio de vulnerabilidad
El principio de explotación de la vulnerabilidad es muy simple; consulte el archivo Upload.asp:
No se permite cargar archivos de script asp bajo ninguna circunstancia
sAllowExt=Reemplazar(UCase(sAllowExt),ASP,)
Porque eWebEditor sólo filtra archivos ASP. Recuerdo que cuando usé eWebEditor por primera vez, me pregunté: dado que el autor ya sabía que los archivos asp debían filtrarse, ¿por qué no filtrar archivos asa, cer y otros al mismo tiempo? ¡Quizás esto sea una señal de irresponsabilidad hacia los usuarios gratuitos!
Aplicaciones avanzadas
También hay algunos consejos para explotar las vulnerabilidades de eWebEditor:
1. No se puede iniciar sesión con el nombre de usuario y la contraseña predeterminados.
Intente descargar directamente el archivo ewebeditor.mdb en el directorio db. El nombre de usuario y la contraseña están en la tabla eWebEditor_System y han sido cifrados con md5. Si no puede descargarlos o descifrarlos, considérese sin suerte.
2. Después de agregar el tipo asa, descubrí que todavía no se podía cargar.
Debería ser que el webmaster conozca algún código y haya modificado el archivo Upload.asp él mismo, pero no importa. Según los hábitos de pensamiento de la gente común, a menudo lo modifican directamente en la oración sAllowExt=Replace(UCase(sAllowExt),ASP. ,). Lo he visto. Un webmaster lo modificó así:
sAllowExt=Reemplazar(Reemplazar(Reemplazar(Reemplazar(Reemplazar(UCase(sAllowExt),ASP,),CER,),ASA,),CDX,),HTR,)
A primera vista, todo está filtrado, pero siempre que agreguemos aaspsp al tipo de carga, podemos cargar archivos asp directamente. Jaja, ¿no es una idea genial? Después de que aaspsp filtró los caracteres asp, ¡se convirtió en asp! Por cierto, déjame contarte un secreto. De hecho, se pueden utilizar métodos similares para evitar el filtrado de extensiones en Dongwang Forum 7.0sp2.
3. Después de cargar el archivo asp, descubrí que el directorio no tenía permiso para ejecutar el script.
Jaja, soy tan estúpido. El tipo de carga se puede cambiar, pero ¿no se puede modificar también la ruta de carga?
4. Se ha utilizado el método del punto 2, pero aún no se puede cargar el tipo asp.
Parece que el webmaster debe ser un maestro en escribir asp, pero tenemos un último truco para lidiar con él: eWebEditor puede configurar el tipo de guardado automático de archivos remotos y podemos agregar el tipo asp. Pero, ¿cómo podemos permitir el acceso remoto a archivos ASP para guardarlos en forma de código fuente? Hay muchos métodos, el método más simple es eliminar asp en la asignación de archivos de la aplicación en IIS.
Compartir: Muestra en rojo las palabras clave de registro obtenidas cuando ASP consulta datos % respuesta.escribir reemplazar(rs(campo com/]