亚洲综合原千岁中文字幕_国产精品99久久久久久久vr_无码人妻aⅴ一区二区三区浪潮_成人h动漫精品一区二区三

主頁 > 知識庫 > eWebEditor:網站中的隱形炸彈

eWebEditor:網站中的隱形炸彈
熱門標簽:客服外呼系統呼叫中心 土地證宗地圖標注符號 自動外呼系統怎么防止封卡 保定電銷機器人軟件 電話機器人案例 vue 地圖標注拖拽 成都銷售外呼系統公司 電話機器人銷售公司嗎 鎮江云外呼系統怎么樣
站長在使用eWebEditor的時候是否發現,eWebEditor配置不當會使其成為網站中的隱形炸彈呢?第一次發現這漏洞源于去年的一次入侵,在山窮水盡的時候發現了eWebEditor,于是很簡單就獲得了WebShell。后來又有好幾次利用eWebEditor進行入侵的成功經歷,這才想起應該寫一篇文章和大家共享一下,同時也請廣大已經使用了eWebEditor的站長趕緊檢查一下自己的站點。要不然,下一個被黑的就是你哦! 

漏洞利用 
利用eWebEditor獲得WebShell的步驟大致如下: 
1.確定網站使用了eWebEditor。一般來說,我們只要注意發表帖子(文章)的頁面是否有類似做了記號的圖標,就可以大致做出判斷了。 
2.查看源代碼,找到eWebEditor的路徑。點擊“查看源代碼”,看看源碼中是否存在類似“iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=contentstyle=web' frameborder=0 scrolling=no width='550' HEIGHT='350'>/iframe>”的語句。其實只有發現了存在這樣的語句了,才可以真正確定這個網站使用了eWebEditor。然后記下src='***'中的“***”,這就是eWebEditor路徑。 
3.訪問eWebEditor的管理登錄頁面。eWebEditor的默認管理頁面為admin_login.asp,和ewebeditor.asp在同一目錄下。以上面的路徑為例,我們訪問的地址為:http://www.***.net/edit/admin_login.asp,看看是否出現了登錄頁面。 
如果沒有看到這樣的頁面,說明管理員已經刪除了管理登錄頁面,呵呵,還等什么,走人啊,換個地方試試。不過一般來說,我很少看到有哪個管理員刪了這個頁面,試試默認的用戶名:admin,密碼:admin888。怎么樣?成功了吧(不是默認賬戶請看后文)! 
4.增加上傳文件類型。點擊“樣式管理”,隨便選擇列表中底下的某一個樣式的“設置,為什么要選擇列表中底下的樣式?因為eWebEditor自帶的樣式是不允許修改的,當然你也可以拷貝一個新的樣式來設置。 

然后在上傳的文件類型中增加“asa”類型。 

5.上傳ASP木馬,獲得WebShell。接下來將ASP木馬的擴展名修改為asa,就可以簡單上傳你的ASP木馬了。不要問我怎么上傳啊,看到 “預覽” 了嗎?點擊“預覽”,然后選擇“插入其它文件”的按鈕就可以了。 

漏洞原理 
漏洞的利用原理很簡單,請看Upload.asp文件: 
任何情況下都不允許上傳asp腳本文件 
sAllowExt = Replace(UCase(sAllowExt), "ASP", "") 
因為eWebEditor僅僅過濾了ASP文件。記得我第一次使用eWebEditor時就在納悶:既然作者已經知道asp文件需要過濾,為什么不同時過濾asa、cer等文件呢?也許這就是對免費用戶不負責任的表現吧! 

高級應用 
eWebEditor的漏洞利用還有一些技巧: 
1.使用默認用戶名和密碼無法登錄。 
請試試直接下載db目錄下的ewebeditor.mdb文件,用戶名和密碼在eWebEditor_System表中,經過了md5加密,如果無法下載或者無法破解,那就當自己的運氣不好了。 
2.加了asa類型后發現還是無法上傳。 
應該是站長懂點代碼,自己修改了Upload.asp文件,但是沒有關系,按照常人的思維習慣,往往會直接在sAllowExt = Replace(UCase(sAllowExt), "ASP", "")一句上修改,我就看見過一個站長是這樣修改的: 
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "") 
猛一看什么都過濾了,但是我們只要在上傳類型中增加“aaspsp”,就可以直接上傳asp文件了。呵呵,是不是天才的想法?“aaspsp”過濾了“asp”字符后,反而變成了“asp”!順便告訴大家一個秘密,其實動網論壇7.0 sp2中也可以利用類似的方法繞過對擴展名的過濾。 
3.上傳了asp文件后,卻發現該目錄沒有運行腳本的權限。 
呵呵,真是好笨啊,上傳類型可以改,上傳路徑不是也可以修改的嗎?仔細看看圖四。 
4.已經使用了第2點中的方法,但是asp類型還是無法上傳。 
看來站長肯定是一個寫asp的高手,但是我們還有最后一招來對付他:看到圖三中的“遠程類型”了嗎?eWebEditor能夠設定自動保存遠程文件的類型,我們可以加入asp類型。但是如何才能讓遠程訪問的asp文件能夠以源碼形式保存呢?方法是很多的,最簡單的方法是將IIS中的“應用文件映射”中的“asp”刪除。 

后記 
根據自己的經驗,幾乎只要能進入eWebEditor的后臺管理,基本上都可以獲得WebShell。在Google上搜索“ewebeditor.asp?id=”能夠看到長達十多頁的相關信息,我大致抽查了其中幾個,發現成功率約為50%。還不錯吧?oblg 2.52版以前的版本也是使用eWebEditor,可以去搜索幾個來練練手。要命的是eWebEditor的官方網站和幫助文件中根本沒有這方面的安全提示。還有,我發現官方提供的測試系統并不存在類似的漏洞,看來不是他們不知道,而是沒有把免費用戶的網絡安危放在心上! 

標簽:懷化 公主嶺 成都 內江 臺灣 重慶 天津 麗江

巨人網絡通訊聲明:本文標題《eWebEditor:網站中的隱形炸彈》,本文關鍵詞  eWebEditor,網站,中的,隱形,;如發現本文內容存在版權問題,煩請提供相關信息告之我們,我們將及時溝通與處理。本站內容系統采集于網絡,涉及言論、版權與本站無關。
  • 相關文章
  • 下面列出與本文章《eWebEditor:網站中的隱形炸彈》相關的同類信息!
  • 本頁收集關于eWebEditor:網站中的隱形炸彈的相關信息資訊供網民參考!
    • 推薦文章
    美女被草网站| 夜夜操网| 成人免费高清视频| 免费一级片在线观看| 欧美激情一区二区三区在线播放| 欧美激情中文字幕一区二区| 久草免费在线观看| 国产麻豆精品hdvideoss| 日韩男人天堂| 一本伊大人香蕉高清在线观看| 国产伦理精品| 日本特黄特黄aaaaa大片| 久久久久久久网| 成人a级高清视频在线观看| 天天做日日爱| 日韩在线观看视频网站| 国产网站免费在线观看| 国产网站免费在线观看| 国产欧美精品| 亚欧成人毛片一区二区三区四区| 亚洲精品影院久久久久久| 欧美激情中文字幕一区二区| 国产伦理精品| 国产不卡在线看| 精品国产香蕉在线播出| 日韩一级黄色| 成人av在线播放| 亚洲天堂免费| 国产精品1024永久免费视频 | 九九九国产| 美女被草网站| 日韩在线观看视频免费| 日韩av东京社区男人的天堂| 亚洲精品中文字幕久久久久久| 国产不卡高清在线观看视频| 国产网站免费在线观看| 国产成人精品综合久久久| 欧美大片毛片aaa免费看| 天天做人人爱夜夜爽2020毛片| 欧美另类videosbestsex久久| 天堂网中文字幕| 日韩专区在线播放| 尤物视频网站在线观看| 中文字幕Aⅴ资源网| 黄视频网站免费观看| 国产不卡精品一区二区三区| 国产精品自拍亚洲| 韩国毛片免费| 色综合久久天天综线观看| 九九九在线视频| 精品国产三级a| 一级女性全黄久久生活片| 99色精品| 超级乱淫黄漫画免费| 国产a视频| 91麻豆爱豆果冻天美星空| 国产亚洲精品成人a在线| 日韩av成人| 国产一区二区精品| 九九精品久久久久久久久| 久久精品人人做人人爽97| 青青青草视频在线观看| 日本久久久久久久 97久久精品一区二区三区 狠狠色噜噜狠狠狠狠97 日日干综合 五月天婷婷在线观看高清 九色福利视频 | 韩国三级视频网站| 久久99青青久久99久久| 成人a大片在线观看| 成人免费网站视频ww| 在线观看成人网 | 亚欧成人乱码一区二区| 国产a网| 91麻豆tv| 精品视频免费看| 国产高清在线精品一区二区| 精品国产一区二区三区久| 国产不卡精品一区二区三区| 韩国妈妈的朋友在线播放| 台湾毛片| 亚洲天堂免费观看| 一本伊大人香蕉高清在线观看| 欧美日本韩国| 日韩在线观看免费完整版视频| 日韩中文字幕在线播放| 青青青草视频在线观看| 韩国三级视频网站| 久久国产一区二区| 日韩中文字幕在线播放| 午夜激情视频在线播放| 欧美激情一区二区三区视频高清| 国产不卡在线观看| 国产一区二区精品尤物| 国产精品1024永久免费视频 | 国产亚洲精品aaa大片| 日韩字幕在线| 韩国妈妈的朋友在线播放| 亚洲爆爽| 久久久久久久免费视频| 黄视频网站在线观看| 韩国三级香港三级日本三级la| 精品视频在线观看视频免费视频| 日韩av成人| 韩国毛片免费大片| 深夜做爰性大片中文| 九九久久国产精品| 韩国三级香港三级日本三级| 国产一区二区福利久久| 成人在激情在线视频| 久久成人亚洲| 国产伦久视频免费观看 视频| 国产一级生活片| 青青青草影院 | 国产网站麻豆精品视频| 国产视频在线免费观看| 亚洲精品中文一区不卡| 精品国产一区二区三区久| 国产成人精品综合久久久| 国产精品自拍在线观看| 日日日夜夜操| 午夜久久网| 久草免费在线色站| 国产麻豆精品免费密入口| 九九精品久久| 一本高清在线| 一级女性全黄久久生活片| 欧美夜夜骑 青草视频在线观看完整版 久久精品99无色码中文字幕 欧美日韩一区二区在线观看视频 欧美中文字幕在线视频 www.99精品 香蕉视频久久 | 91麻豆精品国产综合久久久| 国产视频一区二区在线观看| 999久久66久6只有精品| 免费的黄视频| 免费一级片在线观看| 精品在线观看国产| 国产一区二区精品| 美女免费毛片| 成人高清视频免费观看| 欧美激情中文字幕一区二区| 日韩av成人| 精品国产一区二区三区久久久狼| 免费一级生活片| 国产不卡福利| 色综合久久久久综合体桃花网| 久草免费在线观看| 国产成人女人在线视频观看| 亚洲第一色在线| 天天色色网| 人人干人人草| 欧美1区| 91麻豆tv| 国产亚洲精品aaa大片| 国产成人精品综合在线| 日韩在线观看视频网站| 青青久在线视频| 国产伦精品一区三区视频| 麻豆网站在线免费观看| 九九精品久久久久久久久| 91麻豆国产福利精品| 黄视频网站在线免费观看| 日本在线www| 好男人天堂网 久久精品国产这里是免费 国产精品成人一区二区 男人天堂网2021 男人的天堂在线观看 丁香六月综合激情 | 九九久久国产精品| 亚洲天堂一区二区三区四区| 好男人天堂网 久久精品国产这里是免费 国产精品成人一区二区 男人天堂网2021 男人的天堂在线观看 丁香六月综合激情 | 999久久狠狠免费精品| 国产91视频网| 九九干| 成人免费网站久久久| 精品在线视频播放| 精品国产一区二区三区久| 欧美激情一区二区三区视频| 深夜做爰性大片中文| 国产一区二区精品久| 美国一区二区三区| 欧美日本二区| 日日夜夜婷婷| 亚洲第一色在线| 麻豆系列 在线视频| 久久久成人影院| 九九久久99| 亚洲精品中文一区不卡| 欧美一级视频免费| 一级女人毛片人一女人| 精品国产三级a∨在线观看| 国产一区免费观看| 好男人天堂网 久久精品国产这里是免费 国产精品成人一区二区 男人天堂网2021 男人的天堂在线观看 丁香六月综合激情 | 国产不卡精品一区二区三区| 日韩在线观看视频免费| 韩国三级香港三级日本三级la| 色综合久久天天综合绕观看| 亚欧视频在线| 亚洲 激情| 国产国产人免费视频成69堂| 国产极品白嫩美女在线观看看| 久久国产一区二区| 日韩在线观看视频黄| 久久国产影院| 精品国产香蕉伊思人在线又爽又黄| 超级乱淫黄漫画免费| 国产美女在线一区二区三区| 国产麻豆精品视频| 久久久久久久网| 你懂的在线观看视频| 色综合久久天天综合|