剖析EWebEditor编辑器漏洞攻击案例

将管理员的密码值直接复制到md5在线破解网站，很快该Md5值就被破解了。

4.进入样式管理

输入用户名和密码，进入EWebEditor的后台管理，在其中选中“样式管理”，进入样式管理模块，如图2所示。

图2 进入样式管理

i注意

在样式管理中有好几个跟样式管理类似的管理界面，要找到有“提交”和“重填”按钮的那个管理界面，否则更改“媒体类型”后发现无法对新设置进行更新。

5.修改样式管理中的运行上传类型。

在“允许上传文件类型及文件大小设置”中修改“其它类型”，在“其它类型”的末尾中添加“|asp”，添加完毕后单击“提交”按钮，使其修改生效，如图3所示。

图3 修改文件上传类型

6.上传网页木马文件。回到产品后台管理中，在产品添加中输入一条新的记录，其中图片文件为一asp文件，该asp文件即为网页木马文件，在其它需要输入值的地方随便填写，完毕后，单击“确定”按钮，完成文件的上传，如图4所示。