[讨论]eWebEditor jsp版漏洞查找问题 eWebEditor, jsp, 漏洞, 讨论

冰绿茶

[讨论]eWebEditor jsp版漏洞查找问题
议题作者：TTFCT
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

今天下了eWebEditor的JSP版本，由于一老师的要求，需要查找其是否存在漏洞，但本人对JSP不太熟悉，看了很久都没有发现有什么漏洞

这个eWebEditor没有后台管理页面，要像ASP版那样进入后台改上传设置是不可能的，sAllowExt =  bean.getSremoteext()，sAllowExt为上传允许文件，感觉好像用 |　进行了分隔，但是没看到诸如：|rar|gif|jpg之类的，我把这个传上来，大家看看有突破口不？
附件
eWebEditor在线文本编辑器飞鱼修改版.rar (700 KB)
2006-9-29 09:55, 下载次数: 234
eWebEditor在线文本编辑器飞鱼修改版TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4349 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-20 查看详细资料TOP 让女孩一夜变的更有女人味


可酷可乐
晶莹剔透§烈日灼然

阿狼

没发现什么漏洞。

我这边好几个大的地区站都用那个了
帖子59 精华0 积分162 阅读权限40 在线时间41 小时 注册时间2005-11-5 最后登录2008-7-24 查看详细资料TOP 您知道您年薪应是多少?

remax
晶莹剔透§烈日灼然

改装迷

对啊，没发现什么问题。。我这里有个jsp+甲骨文的，不会搞。。20字节够写什么？

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料TOP 爱要怎么说出口

cnhcerkf
运维管理组

紫禁城

楼主能否提供一个测试环境，偶这里跑不起JSP，服务器再装比较麻烦。。感谢老大。。珍爱生命，潜心修炼，早日成仙。
帖子374 精华2 积分3971 阅读权限150 性别男 在线时间708 小时 注册时间2006-8-27 最后登录2008-7-6 查看详细资料TOP

ttfct
荣誉会员

老何

引用:
这里是引用第[3 楼]的cnhcerkf于2006-09-30 09:30发表的：
楼主能否提供一个测试环境，偶这里跑不起JSP，服务器再装比较麻烦。。感谢老大。。
兄弟，网上比较多，随便找了几个

URL：
http://202.114.99.44/editor/
http://www.caav.org.cn:8000/caav//eWebEditor/
http://202.117.32.232/netteachingWeb/eWebEditor/TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4349 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-20 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

remax
晶莹剔透§烈日灼然

yoyoabc

放假回家看了一下，还是没发现什么东西。20字节够写什么？

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

llyer
晶莹剔透§烈日灼然

ropedancer

哎！！！没人研究出吗？
帖子6 精华0 积分40 阅读权限40 性别男 在线时间1 小时 注册时间2006-7-17 最后登录2008-5-28 查看详细资料TOP 让女孩一夜变的更有女人味

trace
晶莹剔透§烈日灼然

yoyoabc

我记得以前拿我们市教育信息港就是用的JSP版本的EWEB后台。莫非现在的版本修补了？
帖子111 精华0 积分304 阅读权限40 性别男 在线时间137 小时 注册时间2006-4-3 最后登录2008-7-4 查看详细资料TOP

681832
晶莹剔透§烈日灼然

培记

判断验证的文件在\WEB-INF\Style.xml


研究这个系统几天了。
上传页面采用本地+服务器验证。。贴上Style.xml的代码+截取的数据包,,,,,,


<?xml version="1.0" encoding="GBK"?>
<Edit_Style>
  <!--相关的风格-->
  <style name="standard">
    <sid>14</sid>
    <sdir>standard</sdir>
    <scss>office</scss>
    <suploaddir>UploadFile/</suploaddir>
    <swidth>450</swidth>
    <sheight>350</sheight>
    <smemo>Office标准风格，部分常用按钮，标准适合界面宽度</smemo>
    <sissys>1</sissys>
    <sfileext>rar|zip|exe|doc|xls|chm|hlp</sfileext>
    <sflashext>swf</sflashext>
    <sremoteext>gif|jpg|jpeg|bmp</sremoteext>
    <simageext>gif|jpg|jpeg|bmp</simageext>
    <smediaext>rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov</smediaext>
    <sfilesize>500</sfilesize>
    <sflashsize>500</sflashsize>
    <sremotesize>500</sremotesize>
    <simagesize>500</simagesize>
    <smediasize>500</smediasize>
    <sstateflag>1</sstateflag>
    <sdetectfromword>true</sdetectfromword>
    <sinitmod>EDIT</sinitmod>
    <sbaseurl>1</sbaseurl>
    <scontentpath/>
    <sautoremote>1</sautoremote>
    <stoolbar1>TBHandle|FormatBlock|FontName|FontSize|ZoomSelect|Bold|Italic|UnderLine|TBSep|JustifyLeft|JustifyCenter|JustifyRight|JustifyFull|TBSep|RemoveFormat|StrikeThrough|SuperScript|SubScript|SelectAll|TBSep|UnSelect</stoolbar1>
    <stoolbar2>TBHandle|Image|Flash|Media|File|TBSep|TableMenu|TBSep|Fieldset|Iframe|HorizontalRule|Marquee|TBSep|UnDo|ReDo|TBSep|CreateLink|Unlink|TBSep|Symbol|Emot|NowDate|NowTime|TBSep|Quote|Code|TBSep|Maximize|TBSep|OrderedList|UnOrderedList|TBSep|ForeColor|BgColor|BackColor|BackImage</stoolbar2>
  </style>
</Edit_Style>

研究这个系统几天了。
上传页面采用本地+服务器验证
/ 检测上传表单
function CheckUploadForm() {
if (!IsExt(document.myform.uploadfile.value,sAllowExt)){
parent.UploadError("提示：\n\n请选择一个有效的文件，\n支持的格式有（"+sAllowExt+"）！");
return false;
}
return true
}
// 提交事件加入检测表单
var oForm = document.myform;
oForm.attachEvent("onsubmit", CheckUploadForm) ;
if (! oForm.submitUpload) oForm.submitUpload = new Array() ;
oForm.submitUpload[oForm.submitUpload.length] = CheckUploadForm ;
if (! oForm.originalSubmit) {
oForm.originalSubmit = oForm.submit ;
oForm.submit = function() {
if (this.submitUpload) {
for (var i = 0 ; i < this.submitUpload.length ; i++) {
this.submitUpload() ;
      }
    }
    this.originalSubmit() ;
  }
}
// 上传表单已装入完成
try {
  parent.UploadLoaded();
}
catch(e){
}
</script>
</body>
</html>
<script language=javascript>
parent.UploadSaved(&#39;20070420105442437.rar&#39;);var obj=parent.dialogArguments.dialogArguments;if (!obj) obj=parent.dialogArguments;try{obj.addUploadFile(&#39;1.rar&#39;, &#39;20070420105442437.rar&#39;, &#39;UploadFile/20070420105442437.rar&#39;);} catch(e){};history.back()</script>
帖子4 精华0 积分30 阅读权限40 在线时间10 小时 注册时间2005-6-14 最后登录2008-2-6 查看详细资料TOP

pixy
荣誉会员

tt.niki

eWebEditor/ 貌似他们有个什么版本出现漏洞，就是直接扫描一个XX.jpg图片，然后可以任意浏览数据库，下载下来 登陆，改风格传shell..完毕！

Jsp版我还没看过...我在读书，也只有找几个兄弟帮你看看了..与狼共舞！

帖子395 精华10 积分4278 阅读权限100 性别男 来自China 在线时间284 小时 注册时间2007-1-3 最后登录2008-7-18 查看详细资料TOP

ttfct
荣誉会员

zhoupeng

谢谢各位了，我现在不需要了TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4349 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-20 查看详细资料TOP

bink
荣誉会员

揸拖拉机入西藏

JSP 版暂时飘过。。。很好.
帖子660 精华4 积分5585 阅读权限100 性别男 在线时间247 小时 注册时间2005-9-2 最后登录2007-12-4 查看详细资料TOP

可酷可乐
晶莹剔透§烈日灼然

金羊

这个版本确实存在漏洞,但是就是找不到在哪里.郁闷...
帖子59 精华0 积分162 阅读权限40 在线时间41 小时 注册时间2005-11-5 最后登录2008-7-24 查看详细资料TOP

silenceshell
晶莹剔透§烈日灼然