[讨论]eWebEditor session欺骗漏洞到底如何利用? session, eWebEditor, 漏洞, 欺骗, 讨论

faye

[讨论]eWebEditor session欺骗漏洞到底如何利用?
议题作者：寂寞宝贝
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

今天对一个站进行检测的时候,太无言,那个整站程序没得说,一个字,强!!无意间发现了他后台竟然有eWebEditor这个东西,呵呵,然后进入了eWebEditor 的登陆那,输入默认的 admin,不成功,看来管理员安全意识还不错,然后下了他eWebEditor 的数据库,帐号密码都是MD5加密过的,帐号查出来是admin,密码换了N种方式都查不出来,没办法,突然看到了eWebEditor 有个session欺骗漏洞,不过看半天没看明白，到底是什么意思!大家帮帮我看下!以下为漏洞的原文!

eWebEditor在线编辑器
漏洞文件:Admin_Private.asp
漏洞语句:<%

If Session("eWebEditor_User") = "" Then
Response.Redirect "admin_login.asp"
Response.End
End If


只判断了session，没有判断cookies和路径的验证问题。
漏洞利用:
新建一个h4x0r.asp内容如下:
<%Session("eWebEditor_User") = "11111111"%>
访问h4x0r.asp，再访问后台任何文件，for example:Admin_Default.asp

漏洞影响:虚拟主机的克星.

我不明白的是这一句<%Session("eWebEditor_User") = "11111111"%>
那个111111到底是什么?帐号?但是看他的代码,难道没密码也能欺骗进入??????????还有就是他说新建一个h4x0r.asp到底新建到哪???如果能在上面建asp的话我还利用他做什么,如果是随便别的地方都行?那又是什么原理?有哪个兄弟知道或者利用成功过这个漏洞的,麻烦出来探讨下!谢谢了!成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料TOP 软件项目外包

xindong
晶莹剔透§烈日灼然

车虫

用session判断eWebEditor_User的值是不是空，如果是空就转向登陆界面，如果不为空则进入后台管理页面，这里只要是不为空就可以了，所以在虚拟机上运行<%Session("eWebEditor_User") = "11111111"%>
的文件就可以使eWebEditor_User的值不为空了，就可以直接进入后台了，这里的11111111也可以换成其它字符，没什么实际意义。

那么新建的文件放到哪？比如说有一个虚拟机上放了两个网站A和B，你拿到了A站的webshell，但是还是不能进入B站的网站目录，而B站里有一个ewebeditor的系统你无法获得密码进入，那么你可以在A站的网站目录里建一个这样的session欺骗的asp文件，并在你的本地浏览器上访问它，然后就可以直接进入B站的ewebeditor的管理页面了。

好像就是这些了，高手见笑，有错误请指出，谢谢。
帖子25 精华0 积分84 阅读权限40 在线时间9 小时 注册时间2005-8-8 最后登录2006-10-3 查看个人网站
查看详细资料TOP 赚更多的钱

神無月
晶莹剔透§烈日灼然

katia2004

ewebeditor 好象较新的版本已经没有这个洞了吧.
帖子124 精华0 积分313 阅读权限40 性别男 在线时间37 小时 注册时间2006-4-22 最后登录2008-6-9 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

ttfct
荣誉会员

superkingliu

引用:
这里是引用第[1 楼]的xindong于2006-10-01 01:39发表的：
用session判断eWebEditor_User的值是不是空，如果是空就转向登陆界面，如果不为空则进入后台管理页面，这里只要是不为空就可以了，所以在虚拟机上运行<%Session("eWebEditor_User") = "11111111"%>
的文件就可以使eWebEditor_User的值不为空了，就可以直接进入后台了，这里的11111111也可以换成其它字符，没什么实际意义。

那么新建的文件放到哪？比如说有一个虚拟机上放了两个网站A和B，你拿到了A站的webshell，但是还是不能进入B站的网站目录，而B站里有一个ewebeditor的系统你无法获得密码进入，那么你可以在A站的网站目录里建一个这样的session欺骗的asp文件，并在你的本地浏览器上访问它，然后就可以直接进入B站的ewebeditor的管理页面了。

.......
错! SESSION不能跨站  你要欺骗的站是A,那么你只有在A上运行那个SESSION赋值的才能登陆后台TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4349 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-20 查看详细资料TOP

流转
风中...流转

晶莹剔透§烈日灼然

剑花江南

Session欺骗比较有局限性~~必须在目标主机给你分配一个Session~~~曾经用Session欺骗搞过洞网~~写过一个工具~本来是要发出来的~但是应用的局限性实在是太大了~
可能有CC不知道session和Cookies有什么区别，这么解释吧~(在某期黑客杂志上看见的)Cookies就像是成绩单，要你自己拿回家的，而Session就是学校的备案，你可以本地改你的成绩单但是改不了学校的备案。
Session是保存在服务器上的，如果你搞到了服务器上一个别的网站的shell，那么给你分配一个Session就很简单了，就好比你有教导处的钥匙，改成绩的话偷着进去改(打个比方，别学阿)
这个ewebeditor没有对session的内容进行检查，只是简单的判断了是否为空~当然就可以欺骗了，其实如果有服务器上的某站的shell的话，session欺骗就和cookies欺骗一样简单

帖子389 精华0 积分597 阅读权限50 性别男 来自大连 在线时间171 小时 注册时间2006-7-15 最后登录2008-4-15 查看个人网站
查看详细资料TOP 少女暴富的隐秘（图）

remax
晶莹剔透§烈日灼然

ivg

看看数据库里的其他东西，找找是不是有别人提前搞过了，说不定有收获哦[找asa]20字节够写什么？

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

eocol
晶莹剔透§烈日灼然

chc2203

如能新建了，还需要欺骗吗？
靠靠MD5了
帖子23 精华0 积分35 阅读权限40 在线时间39 小时 注册时间2006-9-21 最后登录2008-6-13 查看详细资料TOP 让女孩一夜变的更有女人味

charley
晶莹剔透§烈日灼然

SPZLH

漏洞利用:
新建一个h4x0r.asp内容如下:
<%Session("eWebEditor_User") = "11111111"%>
访问h4x0r.asp，再访问后台任何文件，for example:Admin_Default.asp

漏洞影响:虚拟主机的克星.


有意思。呵呵。能建h4x0r.asp的话欺骗还有什么意义？留后门还勉强可以。
帖子35 精华0 积分136 阅读权限40 在线时间105 小时 注册时间2005-5-16 最后登录2007-3-16 查看详细资料TOP

pivot
晶莹剔透§烈日灼然

彬彬

引用:
不知道是我没理解楼主的意思还是楼上几位不理解楼主的意思，他应该问的是怎样绕过admin_login.asp,而不是怎样绕过后台admin目录到达admin_login.asp页面？
楼下同学麻烦帮忙纠正一下，继续持观望态度INGＨ．Ｕ．Ｃ For Ever
帖子65 精华0 积分225 阅读权限40 来自%D6%D0%B9%FA 在线时间172 小时 注册时间2006-5-17 最后登录2008-7-4 查看个人网站
查看详细资料TOP

dingking
荣誉会员

dgsouxin.com

漏洞影响:虚拟主机的克星.

也就是说那个文件只要放在服务器上任意一个站上就可以了。

纯属瞎猜。 [s:58]昨天是明天的前天今天是昨天的明天明天是昨天的后天    ╰o╯╰o╯
帖子741 精华2 积分4784 阅读权限100 性别男 在线时间756 小时 注册时间2005-6-17 最后登录2008-7-18 查看详细资料TOP

寂寞宝贝
荣誉会员

7月11日

引用:
这里是引用第[11 楼]的dingking于2006-10-02 00:59发表的：
漏洞影响:虚拟主机的克星.

也就是说那个文件只要放在服务器上任意一个站上就可以了。
汗！这样来理解也行。。。。。晕！还是那句话，如果我能在上面建asp文件。。。我还需要欺骗他么？没有意义！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料TOP

xindong
晶莹剔透§烈日灼然

车亲仁

引用:
这里是引用第[3 楼]的zxzgcn于2006-10-01 08:24发表的：



错! SESSION不能跨站  你要欺骗的站是A,那么你只有在A上运行那个SESSION赋值的才能登陆后台
谢谢指教，没想到第一次就错了，呵呵，大家继续讨论，本来还好像有点头绪的，被你们这样一弄，我倒真不知道他们的区别了，我曾经看过关于session欺骗的文章，难道那篇文章写错了，期待着更精妙的回答！

另外我说下，我都已经有A站的shell，还用得着去建一个这样的文章去欺骗么，能不能将这个漏洞的利用环境说得详细一点啊。
帖子25 精华0 积分84 阅读权限40 在线时间9 小时 注册时间2005-8-8 最后登录2006-10-3 查看个人网站
查看详细资料TOP

nowthk
晶莹剔透§烈日灼然

达哥

不好意思,这个东西的原作者是我的,具体某个人把文件名做成貌似h4x0r.asp这种的可能是想侵权吧..
不过很遗憾的告诉你,这个东西是错的,根本不是虚拟主机的克星，因为session还进行了主机头的判断，所以虚拟主机根本没有影响。

这个session漏洞是想告诉你，是你得到了shell后，可以用这个漏洞做一个小后门，比如访问了如上代码的111.asp，不要关闭浏览器，直接访问此程序的admin_default.asp就可以直接进行后台。。。oveR~ [s:75]\';update heart set love=\'nothing\' where name=yaner;--

帖子104 精华4 积分510 阅读权限50 在线时间124 小时 注册时间2005-3-14 最后登录2007-4-12 查看个人网站
查看详细资料TOP

xiao2004
荣誉会员

userchm

完全是扯谈，什么虚拟主机的克星，根本不行的。

http://forum.eviloctal.com/read-htm-tid-20613-keyword-.html
帖子452 精华16 积分1740 阅读权限100 性别男 在线时间222 小时 注册时间2005-3-19 最后登录2008-7-22 查看详细资料TOP

xiaocool
晶莹剔透§烈日灼然

jacky6636

写个工具出来就好了。。。。
帖子162 精华2 积分431 阅读权限40 在线时间75 小时 注册时间2005-8-4 最后登录2008-6-9 查看详细资料TOP

流转
风中...流转

晶莹剔透§烈日灼然

啸傲江湖

适用范围太窄了
下面给一中使用情况：
主机上有A站和B站，目标是A站，旁注得到了一个B站的Shell，但是主机权限很严格，无法提权，而且A站上面有Ewebeditor，可以用Session欺骗得到A站的Ewebeditor管理权限，然后上传木马以达到入侵A站的目的

帖子389 精华0 积分597 阅读权限50 性别男 来自大连 在线时间171 小时 注册时间2006-7-15 最后登录2008-4-15 查看个人网站
查看详细资料TOP

混世魔王
荣誉会员

小明

没有实践.....不参加讨论.
If Session("eWebEditor_User") = "" Then  //如果session为空
Response.Redirect "admin_login.asp"    // 就跳到登陆窗口
Response.End
End If

代码是这个意思.......没有验证session的内容。
没有实践，觉得理论应该也可以。取保候审中........

帖子181 精华10 积分3720 阅读权限100 性别男 在线时间88 小时 注册时间2005-3-12 最后登录2008-6-19 查看详细资料TOP

whytt
晶莹剔透§烈日灼然

forever4525

和楼上一样，没实践

但

说说想法，以前看过书上有说是虚拟机的克星，是这样理解的

一台服务器上有N个站，为了拿其中一个站，比如A站，而入侵了服务器上的B站，那么由于服务器的权限设置，

导致我们还是不可以拿到A站，那么这个时候，我们就在B站下建立一个S.asp

内容为：

<%
Session("eWebEditor_User") = "123" Then  //如果session不为空，随便写
Response.Redirect "http://www.xx.com/admin_index.asp" // 就跳到同服务器要搞的那个站的管理页面
%>


这样，就可以进入目标A站的管理页面，饶过登陆。

==========

以上全是个人理解，没有实践。
帖子15 精华0 积分52 阅读权限40 性别男 在线时间47 小时 注册时间2005-7-2 最后登录2007-11-30 查看详细资料TOP

whytt
晶莹剔透§烈日灼然

智能手机

写完，才看了到帖子，原来都说的很清楚了，我还在这里说什么呢，找了半天编辑帖子也木有找到，哎。。。失败
帖子15 精华0 积分52 阅读权限40 性别男 在线时间47 小时 注册时间2005-7-2 最后登录2007-11-30 查看详细资料TOP

剑客留香
晶莹剔透§烈日灼然

lisir

这个根本就理论上成立，却不可能实现的事实！
帖子17 精华0 积分62 阅读权限40 在线时间13 小时 注册时间2006-10-5 最后登录2007-5-7 查看详细资料TOP

寂寞宝贝
荣誉会员