剖析EWebEditor编辑器漏洞攻击案例
2010-05-07 00:00:00 来源:WEB开发网核心提示:通过本案例可以学到:(1)了解EWebEditor漏洞(2)利用EWebEditor来上传Webshell并实施控制EWebEditor是一款著名的Web编辑器,由于功能强大因此在很多网站都使用它来作为一款编辑器,剖析EWebEditor编辑器漏洞攻击案例,EWebEditor中安全风险最高的就是使用默认的EWebEd
通过本案例可以学到:
(1)了解EWebEditor漏洞
(2)利用EWebEditor来上传Webshell并实施控制
EWebEditor是一款著名的Web编辑器,由于功能强大因此在很多网站都使用它来作为一款编辑器。EWebEditor中安全风险最高的就是使用默认的EWebEditor编辑器配置,默认情况下其EWebEditor的数据库可以通过浏览器下载,一旦破解其EWebEditor后台管理账号和密码,则可以通过修改其样式管理,达到上传asp网页木马的目的。因此配置不当极有可能导致整个网站处于危险状态,在一定条件下还有可能完全控制提供该 Web服务的服务器。本案例通过发现某一个公司的网站使用EWebEditor编辑器,通过下载数据库、破解密码、修改后台样式管理等方法成功上传 Webshell。
1.发现网站使用EWebEditor编辑器。在浏览网页时,通过查看网页图片属性,我发现该图片地址中包含了EWebEditor字样,如图1所示,因此怀疑该网站使用了EWebEditor编辑器。
图1 通过路径发现EWebEditor编辑器
J技巧
在访问一些非自动生成html网页文件的网站时,通过查看图片的地址或者直接打开网页中的图片,如果发现其路径或者地址中存在EWebEditor字样,则可以推断该网站系统极有可能使用了EWebEditor编辑器。
2.下载EWebEditor默认数据库文件
直接在浏览器中输入EWebEditor默认数据库文件地址,将数据库下载到本地。
3.打开数据库并执行管理员密码破解
Tags:剖析 EWebEditor 编辑器
编辑录入:爽爽 [复制链接] [打 印]赞助商链接