eWebEditor编辑器漏洞利用

简介

eWebEditor是一个基于浏览器的在线HTML编辑器，该编辑器曾经爆出过多个漏洞。

Ewebeditor编辑器的默认信息

默认管理地址：ewebeditor/admin_login.asp
默认帐号密码：admin，admin或者admin，admin888
默认数据库：ewebeditor/db/ewebeditor.mdb（默认数据库支持下载）
登录界面：

漏洞利用

目录遍历漏洞

进入后台，依次点击上传文件管理，选择样式目录，点击test文件夹：

这个时候，地址栏中会多出dir参数，通过操作该参数，能够遍历网站目录结构：

上传的参数类型允许修改

进入后台管理界面，选择样式管理，找到一处能够修改样式的style，注意，standard、 s_full等样式可能无法修改：

找到最下面的email样式，进行修改，将图片类型添加asaspp，如果添加asp的话会上传失败，因为编辑器会过滤asp，添加asaspp，过滤asp之后，还是asp：

同时需要注意上传路径，应该与standard、 s_full等样式的上传路径保持一致，否则会上传失败。
添加完成之后，保存。
点击预览，载入预览页面：

数据库只读？构造上传

如果编辑器数据库设置为只读，那么无法修改上传类型。这种情况一般是网站再被入侵之后，攻击者为了防止其他人再次入侵，进行的设置。
构造上传：
读取数据库文件，查看eWebEditor_Style表，可以看到前人来过的痕迹：

注意前面的S_ID。
构造如下地址：http://127.0.0.2/0/ewebeditor/eWebEditor.asp?id=14&style=standard
注意id应与前面的S_ID保持一致，访问该页面，上传asp大马。