打開eWebEditorNet/upload.aspx，選擇一個(gè)cer文件。
再在IE地址欄里面輸入javascript:lbtnUpload.click();回車就得到shell了。查看源碼就可以看到上傳shell的地址。
注意：此文章已發(fā)表在2007年12月<<黑客手冊>>

轉(zhuǎn)載請(qǐng)著名出自 雕牌's blog 52cmd.cn

已經(jīng)3個(gè)月的大學(xué)生活了，一直忙，所以沒寫文章了，星期天正好整理資料，朋友發(fā)來一網(wǎng)站喊幫忙入侵一下，正好閑著，就開始了入侵之路。
一，初窺門徑
網(wǎng)站是
http://www.lnwlw.com，程序是.net的。按一般的思路就是，先看有沒注射，用啊D和明小子都檢測一次，都沒掃出注射漏洞。啊D是用site:www.lnwlw.com搜索的，然后看了一下比較隱藏的注射點(diǎn)，像搜索型的注射。http://www.lnwlw.com，程序是.net的。按一般的思路就是，先看有沒注射，用啊D和明小子都檢測一次，都沒掃出注射漏洞。啊D是用site:www.lnwlw.com搜索的，然后看了一下比較隱藏的注射點(diǎn)，像搜索型的注射。

依然不存在注射。注射失去效果，下面掃掃上傳，數(shù)據(jù)庫，配合google一樣也沒什么收獲，但是掃出后臺(tái)來了。
http://www.lnwlw.com/admin，也沒看出是什么程序。

社會(huì)工程也用了，還是沒收獲，aspx程序我也熟悉。所以又失敗了。入侵暫時(shí)陷入了困境。
二，空喜一場
下面看看旁注，用明小子掃一下，就2個(gè)玉米。還有一個(gè)是遼寧文學(xué)藝術(shù)音樂站，這種音樂站很簡陋，還整合了一個(gè)留言版，也沒發(fā)現(xiàn)注射，下面找找上傳漏洞，主頁有很多連接帶圖的，隨便點(diǎn)一個(gè)進(jìn)去，直接看IE的狀態(tài)欄也可以，主要是看圖片的絕對(duì)地址，對(duì)著圖片點(diǎn)屬性也行。我習(xí)慣用迅雷下載所有連接。


馬上找出ewebeditor的登陸地址，默認(rèn)的地址
http://www.lnyx.org/eWebEditor/admin_login.asp
用默認(rèn)密碼admin居然通過，狂高興。進(jìn)去后馬上拷貝模板，改上傳類型，cer但是結(jié)果讓我大吃一驚?？薨?quán)限不夠，設(shè)置的只讀權(quán)限。

三，勝利在望
真掃興啊，居然權(quán)限設(shè)置，那么還是把目標(biāo)回到主站上面去吧。興許主站上也有ewebeditor。既然80不好入侵，先掃掃主機(jī)有沒什么明顯的漏洞，拿上x-scan就開掃。

就掃出3個(gè)開放端口。希望又破滅。繼續(xù)回到主站的web程序看，接下來只能看看是否存在別的程序，繼續(xù)在baidu里面site: www.lnwlw.com，找找別的程序。忽然一個(gè)亮點(diǎn)！look

eWebEditorNet程序。正好想起以前拿到過一個(gè)這種程序的0day，今天正好派上用場了。0day也不知道公布了沒，這里簡單說說原理。
原理：eWebEditorNet/upload.aspx文件
// 上傳表單已裝入完成
try {
parent.UploadLoaded();
}
catch(e){
}
只是簡單的對(duì)文件ID進(jìn)行驗(yàn)證，只要構(gòu)造javascript:lbtnUpload.click();就滿足條件。
下面開始利用，打開eWebEditorNet/upload.aspx，選擇一個(gè)cer文件。

再在IE地址欄里面輸入javascript:lbtnUpload.click();回車就得到shell了。查看源碼就可以看到上傳shell的地址。

下面用一句話連接一下。

四，總結(jié)
本次入侵實(shí)話說沒什么技術(shù)含量，只是給大家大家?guī)砹艘淮尾煌暾娜肭?，之所以不完整是因?yàn)?389沒拿，呵呵，沒那必要了，安檢適合而止就行了。關(guān)于這個(gè)eweb的漏洞大家可以直接利用，效果很理想噢，很樂意和大家技術(shù)交流。