现在eWebSoft在线编辑器用户越来越多, 危害就越来越大~ 转载标明: 作者:badwolf 出处:坏狼安全网 http://www./
首先介绍编辑器的一些默认特征: 默认登陆admin_login.asp 默认数据库db/ewebeditor.mdb 默认账号admin 密码admin或admin888
搜索关键字:"inurl:ewebeditor" 关键字十分重要 有人搜索"eWebEditor - eWebSoft在线编辑器" 根本搜索不到几个~
baidu搜索inurl:ewebeditor 关网页约44,900篇
google 约有83,000项符合
几万的站起码有几千个是具有默认特征的~
例如:假设找到1个地址是 http://www./admin/eweb ... 200632016527472.doc 那么试1下默认后台 http://www./admin/ewebeditor/admin_login.asp 试默认账号密码登陆。
成功进去后....
选择:→ 样式管理 然后可以看到
样式名 最佳宽度 最佳高度 说明 管理 standard 550 350 Office标准风格,部分常用按钮,标准适合界面宽度,默认样式 预览|代码|设置|工具栏|拷贝
带"拷贝"2个字的是不可以更改设置的. 我们找带有"删除"字样的. 进行编辑或者新增样式.
我这里就进行新增样式的演示. 样式名称:随便添1个 把Flash类型:改成asa
然后提交
然后重新返回 → 样式管理 然后对刚才添加的样式添加工具栏,然后在工具栏里增加1个flash按钮 然后提交
然后再次返回 → 样式管理 选择我们设置好的样式,点预览。 打开就1个上传swf的按钮,刚才我们已经设置过上传asa文件
我们把asp木马改成asa直接上传...
webshell就到手了.....
|