? *管理目录下save.asp导致网站web路径暴露漏洞
      进行新闻的批量生成时，save.asp会暴露服务器路径，由于没有来源检查，匿名用户只要提交如下url就可以知道网站web路径：(b_id为需批量生成的起始新闻id，e_id为结束id)http://target/ce-admins/Save.asp?Type=update&b_id=1&e_id=11111

图6：网站web路径暴露

? * session欺骗漏洞
      ce-admin系统对管理员的验证通过session实现，具体文件为check.asp：

图7：session验证

      可以构造包含如下内容的asp文件，浏览后再访问ce-admins下的admin_index.asp即可进入管理页面。
      <%Session("Name") = "hacker"%>
      缓解因素：攻击者首先需要取得web服务器上其他站点的webshell权限，主要影响对象为虚拟主机。

? * 所带ewebeditor编辑器session欺骗漏洞
      Ce-Admin自带了ewebeditor编辑器，版本为免费版2.8.0，这是一款所见即所得的网页编辑器，该系统对管理员的验证通过session实现，具体文件为Admin_Private.asp，相关代码如下：

图8：session验证

      可以构造包含如下内容的asp文件，浏览后再访问uploadfile下的Admin_Default.asp即可进入管理页面。
      <%Session("eWebEditor_User") = "hacker"%>
      缓解因素：攻击者首先需要取得服务器上其他站点的webshell权限，主要影响对象为虚拟主机。

? * 所带ewebeditor编辑器admin_uploadfile.asp目录遍历以及文件删除漏洞
      该asp文件是用来管理上传文件的，但是可以构造dir参数进行目录的遍历通过提交http://target/uploadfile/admin_uploadfile.asp?id=14&dir=../../
      返回结果如下，并且可以进行非授权文件的删除操作。

图9：目录遍历

      缓解因素：首先需要取得ewebeditor的后台权限。

? * 所带ewebeditor编辑器upload.asp文件上传漏洞
      上传通过upload.asp来实现，除了如图11设置的扩展名外，还对asp文件进行了限制：

图10：对asp文件的限制

上一页  [1] [2] [3] 下一页