我要评论http://www.pockxxx.com/10f2c1dd/inc/edit/db/ewebeditor.mdb
成功的弹出了数据库,说明管理压虽然更改了ewebeditor的后台密码。但是并没有更改ewebeditor的数据库路径,使得我们有机可乘了。马上下载数据库到本地 ,打开以后马上找到ewebeditor_system 这里有管理员的帐号跟密码。 然后发现管理员的用户名为admin 密码的md5散列为b008cd8de9071d72 马上拿到www。cmd5。com 去解开 发现密码为6553552 呵呵很顺的一个密码。立刻登陆ewebeditor 然后我们在样式管理那里随便选择一个样式。 然后在图片类型那里添加一个asa的类型,因为我们知道asa文件是跟asp文件一样解吸的。 另外ewebeditor在样式那里过滤了asp文件 直接添加一个asp文件是不可以的, 不过我们可以添加一个aaspsp的文件,因为这样他过滤掉了一个asp还是存在一个asp,所以就可以直接传我们的asp木马啦,如图5
添加完我们需要上传的类型以后点最下面的确定,然后回到样式管理那里我们选择预览。 然后直接上传我们的asa类型的木马,至此我们已经拿到了网站的最高权限 webshell了。
拿到了webshell以后发现权限设置的非常严格,除了网站所在的目录别的目录一律禁止访问。所有的危险组件都删掉了,看来是典型的虚拟主机配置。不过刚在检测前扫描的时候就发现服务器应该装了防火墙与ids之类的东西, 提权应该是很困难的。 但是我们要注意到?服务器的空间是提供给购买他们程序的人?那么是不是有可能ewebeditor的路径都是一样的呢? 虽然不能提权 但是我们多拿一些网站的权限不是很好? 说做就做,笔者使用了明小子的旁注查询工具,发现服务器上一共捆绑了200多域名,看来网站还真是不少啊 。
在旁注工具里随便找一个网站,在地址栏后边添加inc/edit/admin_login.asp, 因为我们知道这个路径是管理员隐藏好的 有的时候管理员 为了方便管理都会设置一样的路径 ,果然ewebeditor的后台又一次跳了出来。
同样是手法。下载数据库,添加文件类型,上传。不费吹会之利又成功的拿到了服务器上另外网站的权限。 我记的以前我一个朋友在渗透内网时得到了一个sql数据库的sa密码,因为管理员都是一个人,所以整个内网的服务器都被他所控制。没想到笔者今天也碰到了类似的事情。结果笔者用了几个小时的时间成功的拿到了服务器上 80%的网站权限。 因为有的网站程序不一样 而且可能是个人站长自己管理。 ewebeditor虽然有但是md5的密码破解不出来。如图6
笔者将拿到的网站权限送给了朋友,并且告诉了他的漏洞所在。不过此次的安全检测偶然性比较大。运气成分很高吧。不过ewebeditor这个编辑器确实是害人不浅。很多网站站长都不知道自己用了他 更何况是去修改密码呢。所以在这里也提醒网站的站长,使用程序的时候一定要小心,说不定程序里就自带着“后门”呢。
发表评论