現在eWebSoft在線編輯器用戶越來越多,危害就越來越大~
首先介紹編輯器的一些默認特征:
默認登陸admin_login.asp
默認數據庫db/ewebeditor.mdb
默認帳號admin 密碼admin或admin888

搜索關鍵字:"inurl:ewebeditor" 關鍵字十分重要
有人搜索"eWebEditor - eWebSoft在線編輯器"
根本搜索不到幾個~

baidu.google搜索inurl:ewebeditor

幾萬的站起碼有幾千個是具有默認特征的~
那么試一下默認后臺
http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
試默認帳號密碼登陸。

利用eWebEditor獲得WebShell的步驟大致如下：
1．確定網站使用了eWebEditor。一般來說，我們只要注意發表帖子（文章）的

頁面是否有類似做了記號的圖標，就可以大致做出判斷了。

2．查看源代碼，找到eWebEditor的路徑。點擊“查看源代碼”，看看源碼中是

否存在類似“<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?

id=content&style=web' frameborder=0 scrolling=no width='550'

HEIGHT='350'></iframe>”的語句。其實只有發現了存在這樣的語句了，才可

以真正確定這個網站使用了eWebEditor。然后記src='***'中的“***”，這就

是eWebEditor路徑。

3．訪問eWebEditor的管理登錄頁面。eWebEditor的默認管理頁面為

admin_login.asp，和ewebeditor.asp在同一目錄下。以上面的路徑為例，我們

訪問的地址為：http://www.***.net/edit/admin_login.asp，看看是否出現了

登錄頁面。
如果沒有看到這樣的頁面，說明管理員已經刪除了管理登錄頁面，呵呵，還等

什么，走人啊，換個地方試試。不過一般來說，我很少看到有哪個管理員刪了

這個頁面，試試默認的用戶名：admin，密碼：admin888。怎么樣？成功了吧（

不是默認賬戶請看后文）！

4．增加上傳文件類型。點擊“樣式管理”，隨便選擇列表中底下的某一個樣式

的“設置，為什么要選擇列表中底下的樣式？因為eWebEditor自帶的樣式是不

允許修改的，當然你也可以拷貝一個新的樣式來設置。然后在上傳的文件類型

中增加“asa”類型。

5．上傳ASP木馬，獲得WebShell。接下來將ASP木馬的擴展名修改為asa，就可

以簡單上傳你的ASP木馬了。不要問我怎么上傳啊，看到 “預覽” 了嗎？點擊

“預覽”，然后選擇“插入其它文件”的按鈕就可以了。

漏洞原理
漏洞的利用原理很簡單，請看Upload.asp文件：
任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
因為eWebEditor僅僅過濾了ASP文件。記得我第一次使用eWebEditor時就在納悶

：既然作者已經知道asp文件需要過濾，為什么不同時過濾asa、cer等文件呢？

也許這就是對免費用戶不負責任的表現吧！

高級應用
eWebEditor的漏洞利用還有一些技巧：

1．使用默認用戶名和密碼無法登錄。
請試試直接下載db目錄下的ewebeditor.mdb文件，用戶名和密碼在

eWebEditor_System表中，經過了md5加密，如果無法下載或者無法破解，那就

當自己的運氣不好了。

2．加了asa類型后發現還是無法上傳。
應該是站長懂點代碼，自己修改了Upload.asp文件，但是沒有關系，按照常人

的思維習慣，往往會直接在sAllowExt = Replace(UCase(sAllowExt), "ASP",

"")一句上修改，我就看見過一個站長是這樣修改的：sAllowExt = Replace

(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER",

""), "ASA", ""), "CDX", ""), "HTR", "")
猛一看什么都過濾了，但是我們只要在上傳類型中增加“aaspsp”，就可以直

接上傳asp文件了。呵呵，是不是天才的想法？“aaspsp”過濾了“asp”字符

后，反而變成了“asp”！順便告訴大家一個秘密，其實動網論壇7.0 sp2中也

可以利用類似的方法繞過對擴展名的過濾。

3．上傳了asp文件后，卻發現該目錄沒有運行腳本的權限。呵呵，真是好笨啊

，上傳類型可以改，上傳路徑不是也可以修改的嗎？仔細看看圖四。

4．已經使用了第2點中的方法，但是asp類型還是無法上傳。
看來站長肯定是一個寫asp的高手，但是我們還有最后一招來對付他：看到圖三

中的“遠程類型”了嗎？eWebEditor能夠設定自動保存遠程文件的類型，我們

可以加入asp類型。但是如何才能讓遠程訪問的asp文件能夠以源碼形式保存呢

？方法是很多的，最簡單的方法是將IIS中的“應用文件映射”中的“asp”刪

除。

后記
根據自己的經驗，幾乎只要能進入eWebEditor的后臺管理，基本上都可以獲得

WebShell。在Google上搜索“ewebeditor.asp?id=”能夠看到長達十多頁的相

關信息，我大致抽查了其中幾個，發現成功率約為50％。還不錯吧？oblg 2.52

版以前的版本也是使用eWebEditor，可以去搜索幾個來練練手。要命的是

eWebEditor的官方網站和幫助文件中根本沒有這方面的安全提示。還有，我發

現官方提供的測試系統并不存在類似的漏洞，看來不是他們不知道，而是沒有

把免費用戶的網絡安危放在心上！

--------------------------------------------------------------

eWebEditor漏洞獲webshell拿服務器全過程
第一步，搜索攻擊目標

　　打開搜索引擎，搜索“Pragram by Dlog”，可以找到許多博客頁面，這些

博客都是使用“Dlog破廢墟修改版”建立的。我們要找的葉面是存在暴庫漏洞

的1.2版本。許多用戶都忽視了這個版本中內嵌的eWebEditor在線編輯數據庫的

安全性，致使黑客可以使用默認的路徑進行下載。

　　第二步，獲取管理員密碼

　　在搜索結果列表中挑一個攻擊目標:http://s*.8888.com/blog/，用瀏覽器

打開這個地址，在后面加上eWebEditor/db/e/eWebEditor.mdb并回車，下載數

據庫。

　　打開這個數據庫，在數據庫的“eWebEditor_system”列中可以看到管理員

的用戶名和密碼。由于密碼都是經過MD5加密的，因此找一個MD5密碼暴力破解

器計算機分鐘或幾天，就可得到密碼。不過據經驗，只要能下載這個數據庫，

就說明管理員極有可能沒有更改默認的登陸密碼，如果看到MD5密碼為

“7a57a5a743894a0e”，那么密碼就是默認的“admin”。現在，我們可以進入

eWebEditor后臺在線編輯頁面了。

　　第三步，控制服務器

　　在博客的地址后加上“eWebEditor/admin_login.asp”即可打開

eWebEditor后臺在線編輯頁面。輸入默認的用戶名和密碼“admin”即可順利登

陸博客的后臺管理頁面。

　　新添加一個博客樣式，返回樣式管理頁面。在樣式列表中找到剛才添加的

樣式，并點擊樣式名后的“設置”按鈕，就可使用新的博客樣式。

　　退出管理頁面后進行注冊并登陸博客，然后發一篇帖子并選擇上傳文件，

此時我們可以上傳ASP木馬以便控制整個服務器。

--------------------------------------------------------------

特征：默認數據/db/ewebeditor.mdb
默認路徑admin_login.asp
默認管理員admin密碼admin(admin888)
版本的ewebedit進入后臺添加樣式.得到webshell很容易. 有時候很不幸.管理

員把數據庫改為只讀權限. 能看不能動,在webeditor后臺有個小小的缺陷. 可

以歷遍整個網站目錄哦. 當然.數據庫為只讀的時候一樣可以利用
e.g):
上傳文件管理---選擇樣式目錄(隨便選一個目錄)
得到:
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=../../../.. 看到整個網站文件了
當然 能不能拿到shell 具體問題具體解決..

比如看些敏感的信息，比如數據庫,上傳,等

總結

以上是生活随笔為你收集整理的ewebeditor后台拿shell的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。