ewebeditor 2.8.0目录遍历漏洞——漏洞复现

最新推荐文章于 2024-02-28 12:40:43 发布
最新推荐文章于 2024-02-28 12:40:43 发布
阅读量743 收藏
点赞数
分类专栏: # 目录遍历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40412037/article/details/104632035
版权

第一步:访问目标网站
在这里插入图片描述
第二步:输入用户名密码admin、admin进行登录
在这里插入图片描述
第三步:选择上传文件,样式目录,默认uploadfile文件夹下面没有任何文件,手动复制一些进去即可
在这里插入图片描述
第四步:点击第一个文件夹后如下图所示,发现URL发生变化,出现dir=Count
在这里插入图片描述
第五步:用…/代替,形成目录遍历漏洞
在这里插入图片描述
更多web安全工具与存在漏洞的网站搭建源码,收集整理在知识星球。
在这里插入图片描述

W小哥1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
在线HTML编辑器eWebEditor 2.8.0 最终版
12-22
在线HTML编辑器eWebEditor 2.8.0 最终版,带后台登陆,绝对原汁原味的没经过任何修改的,默认后台用户名和密码都是admin
ewebeditor文件上传漏洞2.8.0版本(漏洞复现
qq_46527139的博客
12-02 1042
ewebeditor文件上传漏洞2.8.0版本 漏洞概述 ewebeditor 是常用的网站后台编辑器,此编辑器有asp等版本。 登陆后台之后,可以通过修改上传文件白名单的方法,任意文件上传。 漏洞危害等级 高危 影响版本 v2.8.0 漏洞复现 在windows2003搭建iis中安装网站 基础环境 组件 版本 os Win2003 Web server Iis6.0 Source code ewebeditorV2.8.0 网站安装 由于该网站为测试,根目录权限为完全
目录浏览 网站目录可列 漏洞原理以及修复方法
it知识分享 free for nothing..
02-28 649
目录浏览 网站目录可列 漏洞原理以及修复方法
检查并堵住网站的eWebEditor漏洞
07-23
检查并堵住网站的eWebEditor漏洞
常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor
10-28
常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor,使用这类编辑器的朋友一定要注意下。
eWebEditor 2.1.6 asp版 上传漏洞利用程序
10-18
eWebEditor 2.1.6 asp版 上传漏洞利用程序 eWebEditor 2.1.6 asp版 上传漏洞利用程序 eWebEditor 2.1.6 asp版 上传漏洞利用程序
常见编辑器漏洞汇总【超全】(转载)
00勇士王子的博客
09-15 4319
以前挖某站发现使用了编辑器,想用通用漏洞探一探,奈何当时无从下手,这件事就放到了我的心上,就去学习了此方面的知识,了解了一些思路,把编辑器漏洞汇总到了一起,分享给想要了解这方面漏洞的小伙伴首先介绍什么是编辑器:编辑器是非常好用的网页在线编辑器,顾名思义就是让我们的用户可以在网页上进行文本的编辑,可以在网页上设置字体的样式段落行间距类似于用word编辑比较方便,并将工具生成得到的html样式插入到数据库中我们可以右键,审查元素,查看js 文件和文件内容标识。
漏洞复现篇——ewebeditor编辑器解析漏洞
爱国小白帽
02-18 3903
在线web编辑器,也叫做富文本 编辑器。 富文本编辑器,Rich Text Editor, 简称 RTE, 是一种可内嵌于浏览器,所见即所得的文本编辑器。 富文本编辑器不同于文本编辑器,程序员可到网上下载免费的富文本编辑器内嵌于自己的网站或程序里(当然付费的功能会更强大些),方便用户编辑文章或信息。比较好的文本编辑器有kindeditor,fckeditor等。 这样的程序,能够在网站上写文档的...
目录遍历漏洞原理、解决方案
qq_37432174的博客
11-22 8518
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。对用户的输入进行验证,特别是路径替代字符如“…尽可能采用白名单的形式,验证所有的输入。
apache 列目录修复
weixin_30758821的博客
03-24 192
描述 :Apache默认配置时允许目录浏览。如果目录下没有索引文件,则会出现目录浏览,导致文件信息泄漏。 检测方法:直接访问目录,如果能看到目录下的文件信息,则说明存在目录浏览漏洞 加固方法: 1.找到apache2的配置文件,在apache2中配置文件为 /etc/apache2/apache2.conf 将Options Indexes FollowSymLinks --> ...
eWebEditor7-修复漏洞带上传
11-09
增加某些实用功能,修正多处已知BUG;上传文件接口设置了防止木马程序,过滤有害代码的功能 目录 ASP   文件 I.JS// eWebEditor 7.0 设置文件   文件 upload.asp//上传文件,不提供上传,就把文件名修改其它名或者删除   文件 upfileclass.asp//上传文件   文件 browse.asp//浏览上传文件 目录 sharefile   目录 media//放共享视频文件   目录 image//放共享图片文件   目录 flash//放共享FLASH文件   目录 0ther//放共享办公文件
ewebeditor漏洞与防范专题资源
10-07
个人收集的ewebeditor漏洞与防范专题文档,希望对Web开发人员有参考作用。
3796 i-FRAME 安装、操作和维护手册
04-27
3796 i-FRAME 安装、操作和维护手册
我的visio画图 资源备用
最新发布
04-27
我的visio画图
NPOI是指构建在POI 3.x版本之上的一个程序
04-27
NPOI可以在没有安装Office的情况下对Word或Excel进行读写,NPOI是一个开源的C#读写Excel、WORD等微软OLE2组件文档的项目
基于STM32F103C8单片机设计-旋转编码器数码管显示程序KEIL工程源码.zip
04-27
STM32学习软件编程资料,STM32F103C8单片机经典外设应用设计实例软件源代码,KEIL工程文件,可供学习参考。
VoLTE高丢包优化指导书.xlsx
04-27
VoLTE高丢包优化指导书
ewebeditor漏洞
08-23
引用:ewebeditor是一种在线web编辑器,也被称为富文本编辑器。它可以内嵌于浏览器中,实现所见即所得的文本编辑功能。但由于该编辑器具有类似于Word的功能,包括图片显示,可能会导致文件上传漏洞。 引用:该漏洞可以通过将编辑器的目录放在网站目录下,并在物理机上访问该网站来模拟。 引用:具体来说,可以通过在默认网站属性中启用父路径选项,然后在网址后面添加"&dir=../../.."来访问C盘根目录,并进行随意删除等操作。 综上所述,ewebeditor存在文件上传漏洞,攻击者可以通过利用漏洞访问服务器上的文件,并进行恶意操作。建议用户及时更新并使用最新版本的编辑器,以避免潜在的安全风险。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [漏洞复现篇——ewebeditor编辑器解析漏洞](https://blog.csdn.net/weixin_45728976/article/details/104367111)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W小哥1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值