ewebeditor v6.0.0版本漏洞

2009年11月24日星期二 | | |

ewebeditor v6.0.0版本漏洞
 

来源:zake's blog

今天和静流聊天,他说ewebeditor出了最新漏洞。于是就是检测一下,这个程序爆漏洞一般都是直接上传的漏洞,不过没错 就是上传漏洞。首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了。

那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。

http://127.0.0.1/1.gif.asp

搭建好了,在上传的地方,图片来源是网络,加上网络地址

1.jpg 大小: 48.73 K 尺寸: 500 x 467 浏览: 7 次 点击打开新窗口浏览全图

然后确定,这里是最关键的一部!

2.jpg 大小: 19.94 K 尺寸: 304 x 259 浏览: 8 次 点击打开新窗口浏览全图

这里点了"远程文件自动上传"以后,再提交得到木马地址

3.jpg 大小: 26.68 K 尺寸: 450 x 302 浏览: 9 次 点击打开新窗口浏览全图

由于官方在图片目录做了限制 导致不能执行ASP脚本而没能拿到WEB权限。

属于安全检测漏洞版本ewebeditor v6.0.0

From: http://www.sai52.com/archives/800/

我的QQ空间
kmeleon.js及pref.js配置解释
K-MeleonCCF ME目录下的defaults\pref\kmeleon.js保存了K-Meleon...
 

0 评论:

发表评论

订阅: 博文评论 (Atom)

所有文章收集于网络,如果有牵扯到版权问题请与本站站长联系。谢谢合作![email protected]

 
Glossy Blue by N.Design Studio
Blogger Templates by Blogcrowds | Glossy Blue Blogger Template