eWebSoft在线编辑器漏洞利用技巧
现在eWebSoft在线编辑器用户越来越多,
危害就越来越大~
转载标明:
作者:badwolf
出处:坏狼安全网
http://www.winshell.cn/
首先介绍编辑器的一些默认特征:
默认登陆admin_login.asp
默认数据库db/ewebeditor.mdb
默认帐号admin 密码admin或admin888
搜索关键字:"inurl:ewebeditor" 关键字十分重要
有人搜索"eWebEditor - eWebSoft在线编辑器"
根本搜索不到几个~
baidu搜索inurl:ewebeditor
关网页约44,900篇
约有83,000项符合
几万的站起码有几千个是具有默认特征的~
例如:假设找到1个地址是
http://www.xxx.com.cn/admin/eweb ... 200632016527472.doc
那么试1下默认后台
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
试默认帐号密码登陆。
成功进去后....
选择:→ 样式管理
然后可以看到
样式名 最佳宽度 最佳高度 说明 管理
standard 550 350 Office标准风格,部分常用按钮,标准适合界面宽度,默认样式 预览|代码|设置|工具栏|拷贝
带"拷贝"2个字的是不可以更改设置的.
我们找带有"删除"字样的.
进行编辑或者新增样式.
我这里就进行新增样式的演示.
样式名称:随便添1个
把Flash类型:改成asa
然后提交
然后重新返回 → 样式管理
然后对刚才添加的样式添加工具栏,然后在工具栏里增加1个flash按钮
然后提交
然后再次返回 → 样式管理
选择我们设置好的样式,点预览。
打开就1个上传swf的按钮,刚才我们已经设置过上传asa文件
我们把asp木马改成asa直接上传...
webshell就到手了.....
相关推荐
-
eWebSoft在线编辑器漏洞利用技巧
现在eWebSoft在线编辑器用户越来越多, 危害就越来越大~ 转载标明: 作者:badwolf 出处:坏狼安全网 http://www.winshell.cn/ 首先介绍编辑器的一些默认特征: 默认登陆admin_login.asp 默认数据库db/ewebeditor.mdb 默认帐号admin 密码admin或admin888 搜索关键字:"inurl:ewebeditor" 关键字十分重要 有人搜索"eWebEditor - eWebSoft在线编辑器" 根
-
常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor
FCKeditor FCKeditor编辑器页/查看编辑器版本/查看文件上传路径 FCKeditor编辑器页 FCKeditor/_samples/default.html 查看编辑器版本 FCKeditor/_whatsnew.html 查看文件上传路径 fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&Curren
-
只需一行代码,轻松实现一个在线编辑器
在大部分人眼里,技术宅给人的印象是沉默寡言,总摸不透他心里想些什么,彼此都保持距离.作为半个程序员,我觉得真正的技术宅大部分时间都在找乐子,鼓捣各种想法,和大部分人的极客心理是一样的,程序员也还爱讲笑话,也喜欢烧菜做饭,虽然大多是为了减减压,这样看来和常人没什么不一样. 不一样的地方,技术宅崇尚极致,喜欢极简,又希望简约不简单,背后就是技术宅满心思的不断的尝试,我正在看着一出好戏在上演: "程序员 Jose Jesus Perez Aguinaga 在 CoderWall 分享了一个小技巧:在浏
-
在线编辑器的实现原理(兼容IE和FireFox)
在线编辑器在我们日常的项目开发中非常有用(如新闻系统),它可以方便地实现文章的在线编辑,省掉了FrontPage等工具.那么是怎样实现浏览器在线编辑功能的呢? 首先需要IE的支持,在IE5.5以后就有一个编辑状态. 就是利用这个编辑状态,然后用javascript来控制在线编辑的. 首先要有一个编辑框,这个编辑框其实就是一个可编辑状态的网页, 我们用iframe来建立编辑框. <IFRAME id="HtmlEdit" style="WIDTH:
-
网络安全渗透测试之musl堆利用技巧
目录 前言 题目分析 调试分析 malloc_context meta chunk meta的释放 总结 前言 最近比赛出的musl题型的越来越多,不得不学习一波musl的堆利用来应对今后的比赛.这里要讲的是musl1.22版本的利用,因为网上可以找到很多审计源码的文章,所以这篇文章是通过一道题目来debug去学习堆的利用技巧,这里用到的是2021第五空间线上赛的notegame题目. 题目分析 1.首先是add函数,使用了calloc,申请的最大size是0x90 2.接着是delete函数,
-
ASP FCKeditor在线编辑器使用方法
本文使用的是最新的FCKeditor 2.3.1版本 官方网站下载: http://ckeditor.com/download[建议直接在官方网站下载最新版本] 下面就开始用了: 第一项工作就是对这个功能宏大的编辑器进行精简,当然是文件精简而非功能精简化.在这里我以asp版的FCKeditor为例进行,进入到FCKeditor 文件夹下,先把以"_"为开头的文件夹统统删除,这些文件夹里放的是范例或是一些其它工具.其实也就是只保留editor文件夹.fckconfig.js.fckedi
-
22个国外的Web在线编辑器收集
1. TinyMCE 免费,开源,轻量的在线编辑器,基于 javascript,高度可定制,跨平台. 2. FCKEditor 免费,开源,用户量庞大的在线编辑器,有良好的社区支持. 3. YUI Editor 属于 Yahoo! YUI 的一部分,能输出纯净 Xhtml 代码. 4. NicEdit 简单,易用,轻量,外观漂亮的在线编辑器. 5. Kupu 开源,支持 ajax 保存,跨平台,易于集成,由 OSCOM 推出. 6. Free Rich Text Editor 非常容易部署,输出
-
自己打造HTML在线编辑器的实现难点分析
HTML在线编辑器实际上是什么 其实有好几种实现方式,目前用得最多.兼容性最好的还是iframe方式. <iframe src="" frameborder="0"></iframe> 只有这个空iframe是不行的,还要用Javascript把它设成可编辑: iframe.contentWindow.document.designMode = "on";iframe.contentWindow.document.cont
-
ASP下使用FCKeditor在线编辑器的方法
先说一下我的测试环境:XPSP2,IIS5.1,FCKeditor2.0 在IIS上建立一个新的站点,我直接取名为FCKeditor 在DW里建立一个相对应的站点,测试服务器为本机,支持VBScript 下载FCKeditor2.0,这个东西是开源的,网上能下到的地方很多,自己找去-- 下载下来的应该是压缩包,解压到FCKeditor站点根目录,什么都不需要更改,直接就可以开始调用了.等你会了的时候,会发现简单得要死去! 在站点根目录下,新建一个index.asp页面,段内加如下代码(调用编辑器
-
discuz 任意管理员密码漏洞利用工具 vbs代码
也利于修改 以下是search.inc.php 文件漏洞利用代码VBS版 复制代码 代码如下: Dim strUrl,strSite,strPath,strUid showB() Set Args = Wscript.Arguments If Args.Count <> 3 Then ShowU() Else strSite=Args(0) strPath=Args(1) strUid=Args(2) End If strUrl="action=search&searchid