Recomendado: Interprete o código geral de ataque de injeção anti-SQL em programas ASP Solicitações HTTP gerais de injeção de SQL nada mais são do que get e post, portanto, desde que filtremos todos os caracteres ilegais nas informações de parâmetro de post ou solicitações get no arquivo, podemos evitar ataques de injeção de SQL. A solicitação get passada pelo IIS para asp.dll está na forma de uma string. Quando os dados são passados para Request.QueryString, o analisador asp analisará Request.QueryString.
Primeiro, apresentamos alguns recursos padrão do editor:Login padrão admin_login.asp
Banco de dados padrão db/ewebeditor.mdb
Senha de administrador da conta padrão admin ou admin888
Pesquise inurl:ewebeditor no baidu/google
Existem pelo menos alguns milhares de sites com recursos padrão, então experimente o back-end padrão.
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
Tente fazer login com a conta e senha padrão.
As etapas para obter o WebShell usando o eWebEditor são aproximadamente as seguintes:
1. Certifique-se de que o site use o eWebEditor. De modo geral, só precisamos prestar atenção se a página onde o post (artigo) é publicado possui um ícone marcado semelhante, e podemos fazer um julgamento aproximado.
2. Visualize o código-fonte e encontre o caminho do eWebEditor. Clique para visualizar o código-fonte e ver se há instruções semelhantes a <iframesrc='/edit/ewebeditor.asp?id=content&style=web'frameborder=0scrolling=nowidth='550'HEIGHT='350'></iframe> no código fonte. Na verdade, só descobrindo a existência de tal afirmação poderemos realmente ter a certeza de que este site utiliza o eWebEditor. Então anote *** em src='***', este é o caminho do eWebEditor.
3. Visite a página de login de gerenciamento do eWebEditor. A página de gerenciamento padrão do eWebEditor é admin_login.asp, que está no mesmo diretório do ewebeditor.asp. Tomando o caminho acima como exemplo, o endereço que visitamos é: http://www.***.net/edit/admin_login.asp para ver se a página de login aparece.
Se você não vir essa página, significa que o administrador excluiu a página de login de gerenciamento Haha, o que você está esperando? Mas de modo geral, raramente vejo algum administrador excluir esta página. Tente o nome de usuário padrão: admin, senha: admin888. Que tal? Foi bem-sucedido (consulte o artigo a seguir se não for a conta padrão)!
4. Adicione tipos de arquivo de upload. Clique em Gerenciamento de estilo e selecione qualquer configuração de estilo na parte inferior da lista. Por que você deve selecionar o estilo na parte inferior da lista? Como os estilos que acompanham o eWebEditor não podem ser modificados, é claro que você também pode copiar um novo estilo e defini-lo.
Em seguida, adicione o tipo asa ao tipo de arquivo carregado.
5. Carregue o Trojan ASP e obtenha o WebShell. Em seguida, altere a extensão do Trojan ASP para asa e você pode simplesmente fazer upload do seu Trojan ASP. Não me pergunte como fazer o upload. Você viu a prévia? Basta clicar em Visualizar e selecionar o botão para inserir outros arquivos.
Princípio da vulnerabilidade
O princípio de exploração da vulnerabilidade é muito simples, consulte o arquivo Upload.asp:
O upload de arquivos de script asp não é permitido em nenhuma circunstância
sAllowExt=Substituir(UCase(sAllowExt),ASP,)
Porque o eWebEditor filtra apenas arquivos ASP. Lembro que quando usei o eWebEditor pela primeira vez fiquei me perguntando: já que o autor já sabia que os arquivos asp precisavam ser filtrados, por que não filtrar asa, cer e outros arquivos ao mesmo tempo? Talvez isso seja um sinal de irresponsabilidade para com os usuários gratuitos!
Aplicativos avançados
Existem também algumas dicas para explorar vulnerabilidades do eWebEditor:
1. Não é possível fazer login usando o nome de usuário e a senha padrão.
Por favor, tente baixar diretamente o arquivo ewebeditor.mdb no diretório db. O nome de usuário e a senha estão na tabela eWebEditor_System e foram criptografados em MD5. Se você não conseguir baixá-lo ou quebrá-lo, considere-se sem sorte.
2. Depois de adicionar o tipo asa, descobri que ainda não foi possível fazer o upload.
Deveria ser que o webmaster conhecesse algum código e modificasse o arquivo Upload.asp ele mesmo, mas isso não importa. De acordo com os hábitos de pensamento das pessoas comuns, eles geralmente o modificam diretamente na frase sAllowExt=Replace(UCase(sAllowExt),ASP. ,). Eu vi isso. Um webmaster modificou assim:
sAllowExt=Substituir(Substituir(Substituir(Substituir(Substituir(UCase(sAllowExt),ASP,),CER,),ASA,),CDX,),HTR,)
À primeira vista, tudo é filtrado, mas contanto que adicionemos aaspsp ao tipo de upload, podemos fazer upload de arquivos asp diretamente. Haha, não é uma ideia genial? Depois que o aaspsp filtrou os caracteres asp, ele se transformou em asp! A propósito, deixe-me contar um segredo. Na verdade, métodos semelhantes podem ser usados para ignorar a filtragem de extensões no Dongwang Forum 7.0sp2.
3. Após fazer upload do arquivo asp, descobri que o diretório não tinha permissão para executar o script.
Haha, sou tão estúpido. O tipo de upload pode ser alterado, mas o caminho de upload também não pode ser modificado?
4. O método do ponto 2 foi usado, mas o tipo asp ainda não pode ser carregado.
Parece que o webmaster deve ser um mestre em escrever asp, mas temos um último truque para lidar com ele: o eWebEditor pode definir o tipo de salvamento automático de arquivos remotos, e podemos adicionar o tipo asp. Mas como podemos permitir o acesso remoto a arquivos asp para serem salvos na forma de código-fonte? Existem muitos métodos, o método mais simples é excluir o asp no mapeamento de arquivos do aplicativo no IIS.
Compartilhar: exibe em vermelho as palavras-chave do registro obtidas quando o ASP consulta dados % resposta.write substituir(rs(campo com/]