Recommandé : Interpréter le code général d'attaque par injection anti-SQL dans les programmes ASP Les requêtes http générales par injection SQL ne sont rien d'autre que des requêtes get et post, donc tant que nous filtrons tous les caractères illégaux dans les informations de paramètre de post ou que nous obtenons des requêtes dans le fichier, nous pouvons empêcher les attaques par injection SQL. La requête get transmise par IIS à asp.dll se présente sous la forme d'une chaîne. Lorsque les données sont transmises à Request.QueryString, l'analyseur asp analysera Request.QueryString.
Tout d'abord, nous introduisons quelques fonctionnalités par défaut de l'éditeur :Connexion par défaut admin_login.asp
Base de données par défaut db/ewebeditor.mdb
Mot de passe administrateur du compte par défaut admin ou admin888
Rechercher inurl:ewebeditor sur baidu/google
Il existe au moins quelques milliers de sites Web dotés de fonctionnalités par défaut, alors essayez le backend par défaut.
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
Essayez de vous connecter avec le compte et le mot de passe par défaut.
Les étapes pour obtenir WebShell à l'aide d'eWebEditor sont à peu près les suivantes :
1. Assurez-vous que le site Web utilise eWebEditor. D'une manière générale, il suffit de vérifier si la page sur laquelle la publication (article) est publiée comporte une icône marquée similaire, et nous pouvons porter un jugement approximatif.
2. Affichez le code source et recherchez le chemin d'accès à eWebEditor. Cliquez pour afficher le code source pour voir s'il existe des instructions similaires à <iframesrc='/edit/ewebeditor.asp?id=content&style=web'frameborder=0scrolling=nowidth='550'HEIGHT='350'></iframe> dans le code source. En fait, ce n'est qu'en découvrant l'existence d'une telle déclaration que nous pouvons vraiment être sûrs que ce site Web utilise eWebEditor. Notez ensuite *** dans src='***', c'est le chemin eWebEditor.
3. Visitez la page de connexion de gestion d'eWebEditor. La page de gestion par défaut d'eWebEditor est admin_login.asp, qui se trouve dans le même répertoire que ewebeditor.asp. En prenant le chemin ci-dessus comme exemple, l'adresse que nous avons visitée est : http://www.***.net/edit/admin_login.asp pour voir si la page de connexion apparaît.
Si vous ne voyez pas une telle page, cela signifie que l'administrateur a supprimé la page de connexion de gestion Haha, qu'attendez-vous et essayez ailleurs. Mais d’une manière générale, je vois rarement un administrateur supprimer cette page. Essayez le nom d’utilisateur par défaut : admin, mot de passe : admin888. Et ça ? Est-ce réussi (veuillez consulter l'article suivant s'il ne s'agit pas du compte par défaut) !
4. Ajoutez des types de fichiers de téléchargement. Cliquez sur Gestion des styles et sélectionnez n'importe quel paramètre de style en bas de la liste. Pourquoi devriez-vous sélectionner le style en bas de la liste ? Étant donné que les styles fournis avec eWebEditor ne peuvent pas être modifiés, vous pouvez bien sûr également copier un nouveau style et le définir.
Ajoutez ensuite le type asa au type de fichier téléchargé.
5. Téléchargez le cheval de Troie ASP et obtenez WebShell. Ensuite, modifiez l'extension du cheval de Troie ASP en asa et vous pourrez simplement télécharger votre cheval de Troie ASP. Ne me demandez pas comment le télécharger. Avez-vous vu l'aperçu ? Cliquez simplement sur Aperçu, puis sélectionnez le bouton pour insérer d'autres fichiers.
Principe de vulnérabilité
Le principe d'exploitation de la vulnérabilité est très simple, merci de consulter le fichier Upload.asp :
Le téléchargement de fichiers de script asp n'est en aucun cas autorisé
sAllowExt=Remplacer(UCase(sAllowExt),ASP,)
Parce que eWebEditor filtre uniquement les fichiers ASP. Je me souviens que lorsque j'ai utilisé eWebEditor pour la première fois, je me demandais : puisque l'auteur savait déjà que les fichiers asp devaient être filtrés, pourquoi ne pas filtrer asa, cer et d'autres fichiers en même temps ? C'est peut-être un signe d'irresponsabilité envers les utilisateurs gratuits !
Applications avancées
Il existe également quelques astuces pour exploiter les vulnérabilités d'eWebEditor :
1. Impossible de se connecter en utilisant le nom d'utilisateur et le mot de passe par défaut.
Veuillez essayer de télécharger directement le fichier ewebeditor.mdb dans le répertoire db. Le nom d'utilisateur et le mot de passe se trouvent dans la table eWebEditor_System et ont été cryptés en md5. Si vous ne parvenez pas à le télécharger ou à le pirater, considérez que vous n'avez pas de chance.
2. Après avoir ajouté le type asa, j'ai toujours constaté qu'il ne pouvait pas être téléchargé.
Il se peut que le webmaster connaisse du code et ait lui-même modifié le fichier Upload.asp, mais cela n'a pas d'importance. Selon les habitudes de pensée des gens ordinaires, ils le modifient souvent directement sur la phrase sAllowExt=Replace(UCase(sAllowExt),ASP. ,). Je l'ai vu. Un webmaster l'a modifié comme ceci :
sAllowExt=Remplacer(Remplacer(Remplacer(Remplacer(UCase(sAllowExt),ASP,),CER,),ASA,),CDX,),HTR,)
À première vue, tout est filtré, mais tant qu'on ajoute aaspsp au type de téléchargement, on peut directement télécharger des fichiers asp. Haha, n'est-ce pas une idée géniale ? Après que aaspsp ait filtré les caractères asp, il s'est transformé en asp ! Au fait, laissez-moi vous révéler un secret. En fait, des méthodes similaires peuvent être utilisées pour contourner le filtrage des extensions dans Dongwang Forum 7.0sp2.
3. Après avoir téléchargé le fichier asp, j'ai constaté que le répertoire n'était pas autorisé à exécuter le script.
Haha, je suis tellement stupide. Le type de téléchargement peut être modifié, mais le chemin de téléchargement ne peut-il pas également être modifié ?
4. La méthode du point 2 a été utilisée, mais le type asp ne peut toujours pas être téléchargé.
Il semble que le webmaster doive maîtriser l'écriture asp, mais nous avons une dernière astuce pour lui faire face : eWebEditor peut définir le type de sauvegarde automatique des fichiers distants, et nous pouvons ajouter le type asp. Mais comment pouvons-nous permettre l'accès à distance aux fichiers asp enregistrés sous forme de code source ? Il existe de nombreuses méthodes, la méthode la plus simple consiste à supprimer asp dans le mappage des fichiers d'application dans IIS.
Partager : Afficher en rouge les mots-clés d'enregistrement obtenus lorsque ASP interroge les données % réponse.write replace(rs(champ com/]