针对ewebeditor编辑器漏洞一次实战经验

最新推荐文章于 2024-06-11 14:36:59 发布
最新推荐文章于 2024-06-11 14:36:59 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 渗透测试笔记 文章标签: ewebeditor编辑器漏洞 渗透测试 burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19623861/article/details/120211785
版权

针对ewebeditor编辑器漏洞一次实战经验

  • 目标:http://www.vocal-tec.com/
  • ip:100.42.49.117
  • 渗透思路:
  1. 先扫描目录后台
  2. 扫描后挨个登陆,看是否有后台
  3. 看后台是否有弱口令
  4. 发现登陆不进去
  5. 但是意外发现网站采用的是ewebeditor编辑器
  6. 百度搜索漏洞
  7. 对ewebeditor目录再扫
  8. 发现后台登陆界面,使用弱密码
  9. 登陆成功
  10. 查看是否有文件上传界面
  11. 上传小马
  12. 连接小马,上传大马
  13. getshell

可惜本次网站在登陆ewebeditor的后台网站后就无法显示了(500状态码),不然可以尝试下getshell,可惜了

视频链接

实战ewebeditor编辑器漏洞(不是本地靶机)

参考文章:https://www.cnblogs.com/milantgh/p/3601739.html

我重来不说话
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ewebeditor编辑器解析漏洞
cxrpty的博客
02-17 1019
实验环境:ewebeditor编辑器 实验步骤: 一、搭建环境 1.将下载好的eweb目录放到C:\Inetpub\wwwroot目录下 2.给eweb文件夹设置权限,依次点击:右键——属性——安全,将Internet 来宾用户和IIS_WAP用户得权限都设置成完全控制 3.在浏览器输入IP/eweb/admin_login.asp 即可进入到下面界面: 二、解析漏洞 ...
常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor
10-28
FCKeditor和EWebEditor是两种常见的网页编辑器,但它们也存在一些安全漏洞,这些漏洞可能会对网站造成严重威胁。下面我们将详细讨论这两个编辑器漏洞及其可能的影响。 首先,FCKeditor的漏洞主要包括过滤不严的...
Ewebeditor最新漏洞漏洞大全
weixin_34357928的博客
08-02 290
Ewebeditor最新漏洞漏洞大全[收集] 来源:转载作者:佚名时间:2009-06-03 00:04:26 下面文章收集转载于网络:) 算是比較全面的ewebeditor编辑器漏洞收集,如今的站点大多数用的都是ewebeditor编辑器, 所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。 漏洞更新日期TM: 2009 2...
技术分享-ueditor漏洞利用&源码分析超详细分析
最新发布
baimao__Ch的博客
06-11 586
ueditor的漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器的安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
eWebEditor漏洞
Priate
02-14 780
 修复eWebEditor漏洞需要注意以下几个方面以下是我的个人总结,只代表个人观点1.修改eWebEditor的数据库名字.2.删除eWebEditor后台管理文件3.修改Upload.asp文件在Upload.asp文件里面,找到这句话sAllowExt = Replace(UCase(sAllowExt), "ASP", "")把这句话替换为Do While
ewebeditor编辑器漏洞
arissa666的博客
10-18 539
网页在线编辑器,权限限制不严格,弱口令,文件过滤出现问题。
ewebeditor漏洞大全
热门推荐
xysoul的专栏
03-23 1万+
1:默认管理后台: http://www.backlion.com/ewebeditor/admin_login.asp 后台如果能进入: 可点击样式管理: standard 拷贝一份(直接修改改不了) 在拷贝的一份里加入图片类型( asa aaspsp )   然后点预览 在编辑器里点设计    然后直接上传asa大马. 上传后 在代码里可以看到马的位置!
PHP网页 Ewebeditor 编辑器嵌入方法
10-29
因为ewebeditor编辑器的功能强大,容易扩展等原因,一直是大家比较喜爱的编辑器,所以下面介绍下ewebeditor如何跟php结合。
ewebeditor编辑器.rar
02-17
ACCESS数据库的后台管理编辑器 ======================================================================================================== eWebEditor ASP版,使用ACCESS配置数据库,带后台管理。为保证安全...
eWebEditor 辑器按钮失效 IE8下eWebEditor编辑器无法使用的解决方法
10-29
最近我把IE浏览器更新到了IE8.0,在用eWebEditor在线HTML文本编辑器的时候点击eWebEditor上的所有编辑按钮都没用,只看到浏览器状态栏左下角显示网页上有错误,于是上网查了一下。终于找到解决的方法,测试后正常。
eWebEditor 编辑器 4.6精简版.rar
07-10
eWebEditor v4.6版本下载,一款好用的网页在线编辑器,可上传图片、上传文件等。适合ASP/PHP/JSP/ASP.NET多平台调用,精简版式去除了一些不常用的功能,好像官网现在的精简版似乎不能用了,越来越让用商业版了,这个...
ewebeditor漏洞与防范专题资源
10-07
个人收集的ewebeditor漏洞与防范专题文档,希望对Web开发人员有参考作用。
ewebeditor编辑器
11-19
**ewebeditor编辑器** ewebeditor是一款广泛应用于网页内容编辑的富文本编辑器,尤其在网站后台管理系统中,它提供了便捷的HTML编辑功能,使得非程序员也能轻松地创建和编辑网页内容。作为一款开源的JavaScript组件...
eWebEditor在线文本编辑器For JSP
01-20
eWebEditor是一款功能强大的在线文本编辑器,特别为JavaServer Pages (JSP) 平台设计,旨在为Web开发者提供一种简单、高效的富文本编辑解决方案。本文将详细探讨eWebEditor的基本功能、工作原理、安装配置以及在实际...
ewebeditor富文本编辑器
03-23
ewebeditor是一款流行的开源富文本编辑器,它为Web开发者提供了一种方便的方式来在网页上实现类似Word的编辑功能。用户可以通过它进行文字编辑、格式设置、插入图片、超链接等操作,使得网页内容的创建和编辑变得...
ewebeditor2.1.6编辑器
03-01
ewebeditor是一款经典的在线富文本编辑器,主要用于Web应用程序中,提供用户友好的界面,使得非技术人员也能方便地编辑和格式化网页内容。版本2.1.6是该编辑器的一个具体迭代,它在前一版本的基础上可能进行了性能...
eWebeditor在线编辑器漏洞利用
信息安全
04-24 1583
利用asp服务器搭建工具NetBox搭建本地网站测试环境,将下载到的eWebEditor文件夹放入网站根目录下 运行服务器,打开浏览器,输入127.0.0.1 可以看到,网站已经能正常启动运行 利用明小子扫在线编辑器路径 可以看到扫出是eWebEditor的路径,默认后台是ewebeditor/admin_login.asp,我们进入 默认后台账号密码是admin,进入后台后点击样式管理,...
ewebeditor漏洞ewebeditor漏洞攻击
zxmsmile的专栏
07-24 940
<br /> ewebeditor漏洞ewebeditor漏洞攻击<br />     先从最基本的记录起!通常入侵ewebeditor编辑器的步骤如下:<br />1、首先访问默认管理页看是否存在。<br />        默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp (各种语言的大家自己改后缀,本文就以asp来进行说明,下面不再细说了!)<br />2、默认管理帐号密码!<br />        默认管理页存在!我们就
ewebeditor asp版5.5-6.X解析漏洞0day
weixin_34357267的博客
10-29 337
影响版本:ewebeditor5.5版,对6.X以上版本也管用,对ASP。aspx。JSP。均管用。 转载地址:http://www.chouwazi.com/article.asp?id=301 ewebeditor5.5版没有mdb数据库,账号和密码存在配置文件 漏洞描述:利用IIS的解析漏洞建立一个XX.asp的文件夹,上传jpg拿webshell 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我重来不说话

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值