Рекомендуется: Интерпретация общего кода атаки с использованием SQL-инъекций в программах ASP. SQL-инъекция Общие HTTP-запросы — это не что иное, как получение и публикация, поэтому, пока мы фильтруем все недопустимые символы в информации о параметрах запросов post или get в файле, мы можем предотвратить атаки SQL-инъекций. Запрос на получение, передаваемый IIS в asp.dll, имеет форму строки. Когда данные передаются в Request.QueryString, анализатор asp анализирует Request.QueryString.
Во-первых, мы представляем некоторые функции редактора по умолчанию:Вход по умолчанию admin_login.asp
База данных по умолчанию db/ewebeditor.mdb
Пароль администратора учетной записи по умолчанию admin или admin888
Найдите inurl:ewebeditor в baidu/google.
Существует как минимум несколько тысяч веб-сайтов с функциями по умолчанию, поэтому попробуйте серверную часть по умолчанию.
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
Попробуйте войти в систему с учетной записью и паролем по умолчанию.
Шаги для получения WebShell с помощью eWebEditor примерно следующие:
1. Убедитесь, что на сайте используется eWebEditor. Вообще говоря, нам нужно только обратить внимание на то, есть ли на странице, где опубликован пост (статья), аналогичный отмеченный значок, и мы сможем сделать приблизительное суждение.
2. Просмотрите исходный код и найдите путь к eWebEditor. Нажмите, чтобы просмотреть исходный код и узнать, есть ли утверждения, похожие на <iframesrc='/edit/ewebeditor.asp?id=content&style=web'frameborder=0scrolling=nowidth='550'HEIGHT='350'></iframe> в исходном коде. Фактически, только обнаружив существование такого заявления, мы можем быть уверены, что на этом веб-сайте используется eWebEditor. Затем пропишите *** в src='***', это путь к eWebEditor.
3. Посетите страницу входа в систему управления eWebEditor. Страницей управления eWebEditor по умолчанию является admin_login.asp, которая находится в том же каталоге, что и ewebeditor.asp. Если взять приведенный выше путь в качестве примера, мы посетили адрес: http://www.***.net/edit/admin_login.asp, чтобы проверить, появляется ли страница входа.
Если вы не видите такой страницы, это означает, что администратор удалил страницу входа в систему. Ха-ха, чего вы ждете? Просто выйдите и попробуйте где-нибудь еще. Но вообще говоря, я редко вижу, чтобы администратор удалял эту страницу. Попробуйте имя пользователя по умолчанию: admin, пароль: admin888. Как насчет этого? Это успешно (см. следующую статью, если это не учетная запись по умолчанию)!
4. Добавьте типы загружаемых файлов. Нажмите «Управление стилями» и выберите любой параметр стиля внизу списка. Почему вам следует выбрать стиль внизу списка? Поскольку стили, поставляемые с eWebEditor, нельзя изменять, вы, конечно, также можете скопировать новый стиль и установить его.
Затем добавьте тип asa к типу загруженного файла.
5. Загрузите троян ASP и получите WebShell. Затем измените расширение трояна ASP на asa, и вы сможете просто загрузить свой троян ASP. Не спрашивайте меня, как это загрузить. Вы видели превью? Просто нажмите «Просмотр», а затем выберите кнопку, чтобы вставить другие файлы.
Принцип уязвимости
Принцип эксплуатации уязвимости очень прост, смотрите файл Upload.asp:
Загрузка файлов сценариев asp не допускается ни при каких обстоятельствах.
sAllowExt=Заменить(UCase(sAllowExt),ASP,)
Потому что eWebEditor фильтрует только файлы ASP. Помню, когда я впервые воспользовался eWebEditor, я задавался вопросом: раз автор уже знал, что файлы asp нужно фильтровать, почему бы не фильтровать asa, cer и другие файлы одновременно? Возможно это признак безответственности к бесплатным пользователям!
Расширенные приложения
Также есть несколько советов по использованию уязвимостей eWebEditor:
1. Невозможно войти в систему, используя имя пользователя и пароль по умолчанию.
Попробуйте напрямую загрузить файл ewebeditor.mdb в каталог db. Имя пользователя и пароль находятся в таблице eWebEditor_System и зашифрованы md5. Если вы не можете загрузить или взломать его, считайте, что вам не повезло.
2. После добавления типа asa обнаружил, что его все равно нельзя загрузить.
Должно быть, веб-мастер знает какой-то код и сам изменил файл Upload.asp, но это не имеет значения. Согласно привычкам мышления обычных людей, они часто изменяют его непосредственно в предложении sAllowExt=Replace(UCase(sAllowExt),ASP. ,). Я видел это так:
sAllowExt=Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt),ASP,),CER,),ASA,),CDX,),HTR,)
На первый взгляд все фильтруется, но если мы добавим aasspsp к типу загрузки, мы сможем напрямую загружать файлы asp. Хаха, разве это не гениальная идея? После того, как aasspp отфильтровал символы asp, он превратился в asp! Кстати, открою вам секрет. На самом деле аналогичные методы можно использовать для обхода фильтрации расширений в Dongwang Forum 7.0sp2.
3. После загрузки asp-файла я обнаружил, что в каталоге нет разрешения на запуск скрипта.
Ха-ха, я такой глупый. Тип загрузки можно изменить, но нельзя ли изменить и путь загрузки?
4. Способ из пункта 2 использован, но тип asp по-прежнему не может быть загружен.
Кажется, что вебмастер должен быть мастером написания asp, но у нас есть с ним еще одна хитрость: eWebEditor может задать тип автоматического сохранения удаленных файлов, а мы можем добавить тип asp. Но как мы можем включить удаленный доступ к файлам asp, которые будут сохранены в виде исходного кода? Существует множество методов, самый простой способ — удалить asp в сопоставлении файлов приложения в IIS.
Поделиться: отображение красным цветом ключевых слов записей, полученных при запросе ASP данных. % response.write replace(rs(поле com/]