利用ewebeditor编辑器批量检测网站[ZT]

  • A+
所属分类:[开发技巧]

作者: 伤心的鱼 出处:IT168

现在越来越多的入侵是针对第三方的插件或者文件。那么笔者就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。
说起安全检测的方法大家可能最熟悉的要属注入,上传或者利用网站的配置不当或者管理员的疏忽等等,但是现在越来越多的入侵是针对第三方的插件或者文件。那么笔者就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。

  正文:

  这天笔者正在工作,忽然MSN弹出消息,原来是朋友花钱制作了一个网站,并且买了域名跟空间,想让笔者测试一下网站的安全性与服务器的安全。尽量找出网站存在的一些安全隐患。在朋友的竭力邀请之下笔者开始了这次的入侵检测之旅。

  通过朋友对笔者的叙述笔者了解到。 朋友网站所用的空间就是他买程序的时候官方送他的免费一年使用权, 那么如此说来服务器上肯定会部署很多网站。 而且很有可能是相似的程序,那么是不是入侵其中一个网站然后了解他的配置信息以后再用同样的手法搞定服务器其他网站呢?按照这个思路笔者开始了入侵的旅途。

  首先打开朋友发来的域名,地址为www.pockxxx.com。粗略看了下页面为英文的,是一个卖手机与游戏机的网站。在IP138查询得知域名所对应的IP为210.51.22.X 为北京网通,看来是托管在IDC机房的服务器。使用superscan与IIS扫描器扫描服务器得到如下结果。

  1、服务器操作系统为windows2003 所用IIS版本为6.0

  2、服务器开放 80 1433与3389端口 三个端口

  3、使用telnet 220.250.64.X 1433与3389 端口发现均不能连通,相必服务器是安装了防火墙或者IDS之类软件。 那么既然只有80端口对外开放那么就只能从WEB程序入手了。

  首先打开网站,很漂亮的一个网站程序。大概看了下网站是使用ASP程序发开的。那么首先想到的就是sql injection 也就是SQL注射漏洞,随便打开一个连接,地址为http://www.pcokXXX.com/product.asp?id=1294 在地址后面加一个单引号发现返回的错误信息为:

  Microsoft OLE DB Provider for ODBC Drivers错误''80040e14''
  [Microsft][ODBC Micorsoft Access Diver] 字符串语法错误 在查询表达式''product。asp?id=1294''中。
  /product。asp,行 32

  从这个错误提示我们能看出下面几点:

  1、网站使用的是Access数据库,通过ODBC连接数据库,而不是通过JET引擎连接数据库

  2、程序没有判断客户端提交的数据是否符合程序要求。

  3、该SQL语句所查询的表中有一名为productID的字段。

  看来网站是基于ASP+ACCESS数据库的架构了。 使用and 1=1 与and 1=2 发现返回的信息不一样,说名存在SQL注射漏洞 不过网站数据库使用的是ACCESS数据库。那么只能猜解管理压密码登陆后台来拿WEBSHELL了 如果是sql server数据库的话有一定权限还可以使用BACK 来备份一个WEBSHELL。

在确定了存在注射漏洞后,笔者开始了艰辛的猜密码的过程,在注射点后使用SQL语句

And (Select Count(*) from Admin)>=0

发现页面返回正常说明存在admin表。那么既然知道了有admin表就继续猜字段吧。不过一般来说这样的程序用的字段无非这几个 username password id userid user_password pwd name userpwd什么的 所以猜这样的字段非常容易 语句一复制 挨个试就好了猜了半天 发现admin表里存在username password id三个字段。为了证明自己的猜解没有错误。笔者又使用了啊D的SQL注射工具。 结果发现确实存在username password与ID这三个字段如图1

  

  很明显username 跟password是存放管理员用户名与密码的。继续猜

and (select top 1 len(username) from Admin)>0

这里笔者还是要先说下原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8 经过笔者的手工猜解与注射工具想结合终于成功找出管理员的后台密码为[username] : test

输入密码查看加密内容:

: katherine 居然还是明问的密码。到这里可能有读者会问?既然有了注射工具为什么还要去手工去猜解密码呢? 这里笔者告诉大家,工具毕竟是死的。不能什么事都依靠工具。如果某一天你在做测试的使用并没有工具的帮忙难道就会没办法么?

  既然知道了管理员的用户名与密码那么就直接准备登陆网站后台了哦?不过另笔者郁闷的事使用注射工具并没有发现网站的后台。并且网站没有admin目录。看来是为了防止网站被黑客攻击, 笔者的朋友已经更换了网站的后台路径。 不过这个时候笔者平时所搜索的一些路径就有了用武之地了。因为笔者平时喜欢搜索一些网站的后台地址等等的习惯。这样一旦遇到没有见过的路径 比如asdf/logi.asp dd.asp等等。

  所以笔者在这里建议各位读者。适当的多搜索一些有用的信息。 因为一个合格的安全工程师不但要有过人的技术,还需要掌握足够的资源 这样做起事来才能事半功倍。 笔者将自己所掌握的路径信息添加进到注射工具里。然后再一次使用后台地址扫描功能,成功的扫描出网站后台地址为10f2c1dd/login.asp,如图2

 

  看到图片可知后台路径设置的是多么隐藏。另外这里还有一个小插曲。就是第一次添加完信息扫描的时候并没有扫描出后台地址, 这里笔者通过自己对朋友的了解,掌握朋友以前的一些习惯自己生成一个小的类似密码字典的东西 呵呵 这样就成功的找到了后台地址。 所以说有时候适时的利用自己掌握的信息与资源是在渗透或者是其他网络安全工作时必不可少的。
好了,既然知道后台地址了就使用我们猜解到的信息 [username] : test

输入密码查看加密内容:

: katherine

用户名为test 密

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
广告也精彩
avatar
广告也精彩

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: