知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 技术文献

eWebSoft在线编辑器漏洞利用技巧

发布时间:2011-06-26 06:57:16作者:知识屋


现在eWebSoft在线编辑器用户越来越多,  
危害就越来越大~  
转载标明:  
作者:badwolf  
出处:坏狼安全网  
http://www.winshell.cn/  

首先介绍编辑器的一些默认特征:  
默认登陆admin_login.asp  
默认数据库db/ewebeditor.mdb   
默认帐号admin 密码admin或admin888  

搜索关键字:"inurl:ewebeditor" 关键字十分重要  
有人搜索"eWebEditor - eWebSoft在线编辑器"  
根本搜索不到几个~  

baidu搜索inurl:ewebeditor  
关网页约44,900篇   

google  
约有83,000项符合   

几万的站起码有几千个是具有默认特征的~  

例如:假设找到1个地址是  
http://www.xxx.com.cn/admin/eweb ... 200632016527472.doc  
那么试1下默认后台  
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp  
试默认帐号密码登陆。  

成功进去后....  

选择:→ 样式管理  
然后可以看到  

样式名 最佳宽度 最佳高度 说明 管理   
standard 550 350 Office标准风格,部分常用按钮,标准适合界面宽度,默认样式 预览|代码|设置|工具栏|拷贝  

带"拷贝"2个字的是不可以更改设置的.  
我们找带有"删除"字样的.  
进行编辑或者新增样式.  

我这里就进行新增样式的演示.  
样式名称:随便添1个  
把Flash类型:改成asa  

然后提交  

然后重新返回 → 样式管理  
然后对刚才添加的样式添加工具栏,然后在工具栏里增加1个flash按钮  
然后提交  

然后再次返回 → 样式管理  
选择我们设置好的样式,点预览。  
打开就1个上传swf的按钮,刚才我们已经设置过上传asa文件  

我们把asp木马改成asa直接上传...  

webshell就到手了.....

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜