WEB开发网
开发学院网络安全安全技术 剖析EWebEditor编辑器漏洞攻击案例 阅读

剖析EWebEditor编辑器漏洞攻击案例

 2010-05-07 00:00:00 来源:WEB开发网   
核心提示:通过本案例可以学到:(1)了解EWebEditor漏洞(2)利用EWebEditor来上传Webshell并实施控制EWebEditor是一款著名的Web编辑器,由于功能强大因此在很多网站都使用它来作为一款编辑器,剖析EWebEditor编辑器漏洞攻击案例,EWebEditor中安全风险最高的就是使用默认的EWebEd

通过本案例可以学到:

(1)了解EWebEditor漏洞

(2)利用EWebEditor来上传Webshell并实施控制

EWebEditor是一款著名的Web编辑器,由于功能强大因此在很多网站都使用它来作为一款编辑器。EWebEditor中安全风险最高的就是使用默认的EWebEditor编辑器配置,默认情况下其EWebEditor的数据库可以通过浏览器下载,一旦破解其EWebEditor后台管理账号和密码,则可以通过修改其样式管理,达到上传asp网页木马的目的。因此配置不当极有可能导致整个网站处于危险状态,在一定条件下还有可能完全控制提供该 Web服务的服务器。本案例通过发现某一个公司的网站使用EWebEditor编辑器,通过下载数据库、破解密码、修改后台样式管理等方法成功上传 Webshell。

1.发现网站使用EWebEditor编辑器。在浏览网页时,通过查看网页图片属性,我发现该图片地址中包含了EWebEditor字样,如图1所示,因此怀疑该网站使用了EWebEditor编辑器。

剖析EWebEditor编辑器漏洞攻击案例

图1 通过路径发现EWebEditor编辑器

J技巧

在访问一些非自动生成html网页文件的网站时,通过查看图片的地址或者直接打开网页中的图片,如果发现其路径或者地址中存在EWebEditor字样,则可以推断该网站系统极有可能使用了EWebEditor编辑器。

2.下载EWebEditor默认数据库文件

直接在浏览器中输入EWebEditor默认数据库文件地址,将数据库下载到本地。

3.打开数据库并执行管理员密码破解

1 2 3  下一页

Tags:剖析 EWebEditor 编辑器

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接