ewebeditor

各版本ewebeditor快速拿webshell

|▌冷眼眸甩不掉的悲伤 提交于 2020-03-08 04:32:42
ewebeditor,相信玩黑的小牛和大牛们都已经非常熟悉了,而且运用的也相当的熟练了吧?其实这个本来也不想写了,想想用他拿了那么多站了,不留个纪念还是不好的,:) 首先:来段官方的介绍 eWebEditorTM 是什么? 在线HTML编辑器! eWebEditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框<TEXTAREA>替换为可视化的富文本输入框,使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具! 如果有兴趣的话去官方了解详情: http://www.ewebeditor.net/ 先说重点吧,这个编辑器按脚本分主要有3个版本,ASP/ASPX/PHP/ 每个版本都可以利用的 ASP版: 这个版本其实个人感觉是影响最大,使用最多的一个了吧,早期很多asp站都用这个,当然现在也是大量的存在的。。。 怎么利用呢?一般用这个的默认后台的URL都是默认的: www.xxx.com/admin/ewebeditor/login_admin.asp 类似 www.xxx.com/ewebeditor/login_admin.asp www.xxx.com/admin/eweb/login_admin

ewebeditor漏洞利用汇总

空扰寡人 提交于 2020-02-27 09:59:45
ewebeditor漏洞利用汇总 2007年09月24日 星期一 22:43 inurl:ewebeditor 现在eWebSoft在线编辑器用户越来越多,危害就越来越大~ 首先介绍编辑器的一些默认特征: 默认登陆admin_login.asp 默认数据库db/ewebeditor.mdb 默认帐号admin 密码admin或admin888 搜索关键字:"inurl:ewebeditor" 关键字十分重要 有人搜索"eWebEditor - eWebSoft在线编辑器" 根本搜索不到几个~ baidu.google搜索inurl:ewebeditor 几万的站起码有几千个是具有默认特征的~ 那么试一下默认后台 http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp 试默认帐号密码登陆。 利用eWebEditor获得WebShell的步骤大致如下: 1.确定网站使用了eWebEditor。一般来说,我们只要注意发表帖子(文章)的页面是否有类似做了记号的图标,就可以大致做出判断了。 2.查看源代码,找到eWebEditor的路径。点击“查看源代码”,看看源码中是否存在类似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web'

Web常见漏洞

早过忘川 提交于 2020-01-22 07:23:05
1.sql注入 2.xss(跨站脚本) XSS 概念: 通常指黑客通过HTML注入纂改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 XSS 有三种: 反射型xss:只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要用户诱使用户点击一个恶意链接,才能攻击成功。 存储型XSS:将用户输入的数据存储在服务器端。 DOM XSS:通过修改页面的DOM节点形成的XSS。 反射型xss我之前写过关于它的文章了:https://www.cnblogs.com/xiaoqiyue/p/8645108.html 存储型xss攻击流程: 一个论坛提供了留言板功能,恶意用户在留言板内插入恶意的html或者js代码,并且提交,那么这段恶意代码就会被保存进入数据库中,然后其他用户在浏览这个论坛时,浏览器会解释执行这段恶意代码,也就说当其他用户浏览的时候,这段代码就会窃取用户的cookie(当然存储型xss还可以将网站重定向到一个钓鱼网站,或者重新更改页面内容,欺骗用户输入用户名,密码,然后提交到恶意用户的服务器上) 3.文件包含 4.命令执行 原理:由于开发人员在编写源代码时,没有对源代码中可执行的特殊函数入口做过滤,导致客户端可以提交一些cmd命令,并交由服务器程序执行。导致攻击者可以通过浏览器或者其他客户端软件提交一些cmd命令(或者bash命令)至服务器程序

介绍几款所见即所得的WEB在线编辑器

穿精又带淫゛_ 提交于 2020-01-08 23:37:56
From:http://homepage.yesky.com/62/2489062.shtml 1.FCKeditor 编辑器   FCKeditor is compatible with most internet browsers which include: IE 5.5+ (Windows), Firefox 1.0+, Mozilla 1.3+ and Netscape 7+.   最新版本:FCKeditor 2.0   语言环境:多国语言   特性功能:所见所得,支持平台众多,支持XHTML 1.0,文本格式设置,常见的编辑,复制,粘贴,撤销,文件上传等功能   授权方式:Open Source & Free   官方地址:http://www.fckeditor.net/   下载地址:http://www.fckeditor.net/download/default.html   演示:http://www.fckeditor.net/demo/default.html   小节:FCKeditor的2.0版比1.6版有了许多的改进。首先是FCKeditor的文件结构更加清晰,   可以更方便地将其部署在自己的系统中。另外2.0版开始支持了Firefox浏览器    2.WebEditor   WebEditor系列文档控件

ewebeditor***

徘徊边缘 提交于 2019-12-16 00:10:29
0x00 前言 ewebeditor是款在线文本编辑器,针对不同语言有不同版本,例如asp\php\jsp...,本文中遇到的环境为asp,属于新手类教程 0x01 过程 在扫描目录的过程中,发现了ewebeditor,通常该编辑器的路径为以下几个,不排除例外 /ewebeditor /admin/ewebeditor /edit /edit/ewebeditor /System/ewebeditor /editor/ewebeditor /webeditor 发现的路径 通常情况,遇到登录口可以试试弱口令,这里发现的弱口令为admin admin,成功登录后台;如果不能,可以尝试找ewebeditor的mdb文件,通常路径为 ewebeditor/db/ewebeditor.mdb 成功登录后,可以获取到一些服务器信息,ewebeditor版本、iis版本、绝对路径等 利用点在样式管理 在样式管理处,可以修改样式,如果默认样式不能修改,则可以创建一个新的样式来修改 主要是修改支持上传的格式,例如asp,如果存在过滤,则添加asaspp等格式 成功修改后,通过预览该样式,并使用当中的图片上传功能,上传webshell 预览后,选择图片上传 成功上传后,文本会多出一个图标 查看属性后,就可以看到webshell的地址了 如果忽略了该步骤,那么可以在上传管理中,查看文件的信息