eWebEditor session欺骗漏洞到底如何利用?

华夏久久

今天对一个站进行检测的时候,太无言,那个整站程序没得说,一个字,强!!无意间发现了他后台竟然有eWebEditor这个东西,呵呵,然后进入了eWebEditor 的登陆那,输入默认的 admin,不成功,看来管理员安全意识还不错,然后下了他eWebEditor 的数据库,帐号密码都是MD5加密过的,帐号查出来是admin,密码换了N种方式都查不出来,没办法,突然看到了eWebEditor 有个session欺骗漏洞,不过看半天没看明白，到底是什么意思!大家帮帮我看下!以下为漏洞的原文!

eWebEditor在线编辑器
漏洞文件:Admin_Private.asp
漏洞语句:<%

If Session("eWebEditor_User") = "" Then
Response.Redirect "admin_login.asp"
Response.End
End If

只判断了session，没有判断cookies和路径的验证问题。
漏洞利用:
新建一个h4x0r.asp内容如下:
<%Session("eWebEditor_User") = "11111111"%>
访问h4x0r.asp，再访问后台任何文件，for example:Admin_Default.asp

漏洞影响:虚拟主机的克星.

我不明白的是这一句<%Session("eWebEditor_User") = "11111111"%>
那个111111到底是什么?帐号?但是看他的代码,难道没密码也能欺骗进入??????????还有就是他说新建一个h4x0r.asp到底新建到哪???如果能在上面建asp的话我还利用他做什么,如果是随便别的地方都行?那又是什么原理?有哪个兄弟知道或者利用成功过这个漏洞的,麻烦出来探讨下!谢谢了!

华夏久久

用session判断eWebEditor_User的值是不是空，如果是空就转向登陆界面，如果不为空则进入后台管理页面，这里只要是不为空就可以了，所以在虚拟机上运行<%Session("eWebEditor_User") = "11111111"%>
的文件就可以使eWebEditor_User的值不为空了，就可以直接进入后台了，这里的11111111也可以换成其它字符，没什么实际意义。

那么新建的文件放到哪？比如说有一个虚拟机上放了两个网站A和B，你拿到了A站的webshell，但是还是不能进入B站的网站目录，而B站里有一个ewebeditor的系统你无法获得密码进入，那么你可以在A站的网站目录里建一个这样的session欺骗的asp文件，并在你的本地浏览器上访问它，然后就可以直接进入B站的ewebeditor的管理页面了。

好像就是这些了，高手见笑，有错误请指出，谢谢。

华夏久久

Session欺骗比较有局限性~~必须在目标主机给你分配一个Session~~~曾经用Session欺骗搞过洞网~~写过一个工具~本来是要发出来的~但是应用的局限性实在是太大了~
可能有CC不知道session和Cookies有什么区别，这么解释吧~(在某期黑客杂志上看见的)Cookies就像是成绩单，要你自己拿回家的，而Session就是学校的备案，你可以本地改你的成绩单但是改不了学校的备案。
Session是保存在服务器上的，如果你搞到了服务器上一个别的网站的shell，那么给你分配一个Session就很简单了，就好比你有教导处的钥匙，改成绩的话偷着进去改(打个比方，别学阿)
这个ewebeditor没有对session的内容进行检查，只是简单的判断了是否为空~当然就可以欺骗了，其实如果有服务器上的某站的shell的话，session欺骗就和cookies欺骗一样简单