eWebeditor的漏洞利用
来源:聚友 发布时间:2009-11-03 13:15:00
标签:ewebeditor,漏洞,安全
今天有个朋友找我,说他们公司网站服务器不稳定,想从原来服务商转出来,重新找个虚拟主机提供商的,但原来的服务公司不给他他们公司网站的源代码,而且态度很恶劣,问我有没有什么办法,就有了今天的利用ewebeditor漏洞拿到整站的例子。
既然与原来的服务公司已经谈崩了,那就只能是其他办法了。
第一想到的是重新做一个网站,但这个朋友是个小公司,用什么钱都得算着来,明显不符合节约的要求,而且现在有现成的网站,那就从网站着手了。
访问网站,看到该网站采用的语言是asp,所以使用离线浏览工具下载的方法不适用,那看看能不能从后台进入呢?问朋友要来后台密码,登陆后台,居然后台密码都被改了,此法又不通。
那就看看有没有漏洞吧,尝试注入,失败,都做了很好的防注入。
无聊之间想看看是否有以前人的入侵,查看一下图片地址,发现图片是传在一个editor目录的uploadfile下,难道使用的是ewebeditor?继续验证,访问editor目录下ewebeditor.asp,居然正确了。
那就看看有没有做防护,访问editor目录下admin_login.asp,一个熟悉的ewebeditor目录出来了,用默认密码admin/admin888直接登陆进去了,在样式的上传类型里面加了asp类型,上传,居然提示禁止上传,那下载一个ewebeditor2.8的最终版下来看看,发现禁止了asp后缀类型并且还过滤asp类型,不过过滤和禁止都很弱智,上传类型中加了asaspp,再上传asp,成功。
下面的就不说了,都知道怎么做的了,很顺利的拿到了该站的代码,也帮朋友公司从一个无耻的服务商那边转了出来。
0
投稿
猜你喜欢
- 11月13日消息,据国外媒体报道,苹果周四表示,2010年将在全球新开40-50家专卖店,其中上海将新增2家。苹果表示,为了将苹果产品推广给
- 随着Internet的发展,很多机构都将自己内部的网络连接到Internet上,因而网络安全问题越来越重要。一、现有防火墙技术及其局限性为了
- 在卓越亚马逊久蛰待发的2009年初,当当网总裁李国庆(李国庆新闻,李国庆说吧)宣布了网站正式盈利的消息。当当网市场营销副总裁陈腾华这样解释&
- Exchange 2000 Server中的Recipient Policies是一项重要的功能,它制定了收件人的邮箱地址,其中包括:X.4
- 今天在浏览一个博客时,突然看到一句话“成功就是不断重复地做简单的事”,不禁让我联想起咱们做站何尝不是这样:记得刚开始做站的时候,总是不停地到
- 6、确定档案权限touch /var/log/procmail.log <--档案不存在时才touchchmod 644 /var/l
- 据国外媒体报道,谷歌程序员已经克服了Mac Chrome测试版最大的障碍——打印支持,但Window
- “网页游戏是我们最先叫起来的”,孙文俊这样对腾讯科技说,“最初的叫法是WebGame或浏览器游戏。”孙文俊05年底创立了一个《OGame银河
- 站长在提交备案时要注意以下细节:1。备案主体,个人网站就是姓名,身份证最好是没提交过备案的,不然再次提交会提示冲突。公司网站一定要以公司名义
- 如果你想做个站,然后通过点击广告来赚点钱的话,那你有没有想过哪个行业的关键字价格是比较高的呢?点击收入有时候不单要看你的有效点击
- 关于你的博客Google知道些什么?Google拥有些什么?搜索引擎对博客有一系列的信任评价衡量指标,Google比你认为的更了解你的博客。
- Blogger.com网站首页截图北京时间3月6日消息,综合海外媒体报道,Blogger.com是全球最大的博客网站,被称为互联网诞生15年
- 经过了漫长的等待,站长终于迎来了期待已久的UCenter Home2.0正式版。与以前版本和2.0的测试版本不同,UCenter Home2
- dedecms5.1sp1 一个tag只能对应一篇文章 其它文章添加TAG相同时不显示不添加文章到TAG目录解决办法:在后台的【SQL命令运
- 常用组件主要包括Aspjpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite等,本文就仅说这5种,其他类型组件可以根据需
- 酝酿测试几个月的Google AdSense今日开放西联汇款 加快汇款速度,最高金额1万美金,不能给公司汇款。详细内容: 选择付款形式当月
- Corel旗下的WinZip Computing 公司今天宣布推出 WinZip 14.0。WinZip 14全新支持微软Windows 7
- 8月份曾应朋友的邀请,参与了谷歌公司的一个内部活动,跟谷歌的Adsense、搜索质量组、Adwords部门部分员工进行一个对话。对话前谷歌的
- 自从Discuz!论坛系统推出7.0版本之后,系统的自带风格、默认头像等都更加时尚与新潮了。但有些论坛的会员上传低俗、违法头像,破坏了论坛社
- WEB3.0时代已悄然降临在我们站长的身边,而这个时代我们靠什么赚钱呢?这是一个新的研究课题.可是在WEB2.0普遍流行的当今互联网江湖,可